“Incident Analysis Report: Multi-Vector Attack Activity on Host 10.10.10.10 (29 Sept 2025)”

Victim host: 10.10.10.10
Log timeframe: 00:30 – 05:30

1. What happened?

• Many computers (different IPs) tried to log in to the server again and again with wrong passwords → brute-force attack.

• Some of these logins were successful → attackers got inside using guessed or weak passwords.

• After logging in, attackers used su or sudo to become root (administrator).

This indicates that the system was entirely compromised.

Attack types:

2. Brute force/password guessing → attackers tried thousands of login attempts.

3. Account compromise → some passwords were correct (accepted).

4. Privilege escalation → used su/sudo to become root.

5. Scanning/enumeration → many “Invalid user” attempts to guess username.

   3. Source IP addresses:-

• Successful logins came:
  10.10.10.11 10.10.10.12 10.10.10.13 10.10.10.14 10.10.10.15 10.10.10.16 10.10.10.17 10.10.10.18 10.10.10.19 10.10.10.20 10.10.10.21 10.10.10.23 10.10.10.24 10.10.10.25 10.10.10.42 10.10.10.48

  Total: 16 unique IP addresses successfully logged in.

Failed attempts :

• 10.10.10.100 10.10.10.103 10.10.10.108 10.10.10.117 10.10.10.119 10.10.10.12 10.10.10.121 10.10.10.13 10.10.10.14 10.10.10.17 10.10.10.18 10.10.10.19 10.10.10.21 10.10.10.22 10.10.10.23 10.10.10.26 10.10.10.27 10.10.10.28 10.10.10.29 10.10.10.30 10.10.10.31 10.10.10.32 10.10.10.33 10.10.10.34 10.10.10.35 10.10.10.36 10.10.10.37 10.10.10.38 10.10.10.39 10.10.10.40 10.10.10.41 10.10.10.43 10.10.10.44 10.10.10.45 10.10.10.46 10.10.10.47 10.10.10.49 10.10.10.50 10.10.10.51 10.10.10.52 10.10.10.53 10.10.10.54 10.10.10.55 10.10.10.56 10.10.10.57 10.10.10.58 10.10.10.59 10.10.10.60 10.10.10.61 10.10.10.62 10.10.10.63 10.10.10.64 10.10.10.65 10.10.10.66 10.10.10.67 10.10.10.68 10.10.10.69 10.10.10.70 10.10.10.71 10.10.10.72 10.10.10.73 10.10.10.74 10.10.10.75 10.10.10.76 10.10.10.77 10.10.10.78 10.10.10.79 10.10.10.80 10.10.10.81 10.10.10.82 10.10.10.83 10.10.10.84 10.10.10.85 10.10.10.86 10.10.10.87 10.10.10.88 10.10.10.89 10.10.10.90 10.10.10.91 10.10.10.92 10.10.10.94 10.10.10.95 10.10.10.96 10.10.10.97 10.10.10.98 10.10.10.99**

  Successful and Failed Login Source IPs:**

  | Successful Login IPs | Failed Attempt IPs | | --- | --- | | 10.10.10.11 | 10.10.10.100 | | 10.10.10.12 | 10.10.10.103 | | 10.10.10.13 | 10.10.10.108 | | 10.10.10.14 | 10.10.10.117 | | 10.10.10.15 | 10.10.10.119 | | 10.10.10.16 | 10.10.10.12 | | 10.10.10.17 | 10.10.10.121 | | 10.10.10.18 | 10.10.10.13 | | 10.10.10.19 | 10.10.10.14 | | 10.10.10.20 | 10.10.10.17 | | 10.10.10.21 | 10.10.10.18 | | 10.10.10.23 | 10.10.10.19 | | 10.10.10.24 | 10.10.10.21 | | 10.10.10.25 | 10.10.10.22 | | 10.10.10.42 | 10.10.10.23 | | 10.10.10.48 | 10.10.10.26 | | — | 10.10.10.27 | | — | 10.10.10.28 | | — | 10.10.10.29 | | — | 10.10.10.30 | | — | 10.10.10.31 | | — | 10.10.10.32 | | — | 10.10.10.33 | | — | 10.10.10.34 | | — | 10.10.10.35 | | — | 10.10.10.36 | | — | 10.10.10.37 | | — | 10.10.10.38 | | — | 10.10.10.39 | | — | 10.10.10.40 | | — | 10.10.10.41 | | — | 10.10.10.43 | | — | 10.10.10.44 | | — | 10.10.10.45 | | — | 10.10.10.46 | | — | 10.10.10.47 | | — | 10.10.10.49 | | — | 10.10.10.50 | | — | 10.10.10.51 | | — | 10.10.10.52 | | — | 10.10.10.53 | | — | 10.10.10.54 | | — | 10.10.10.55 | | — | 10.10.10.56 | | — | 10.10.10.57 | | — | 10.10.10.58 | | — | 10.10.10.59 | | — | 10.10.10.60 | | — | 10.10.10.61 | | — | 10.10.10.62 | | — | 10.10.10.63 | | — | 10.10.10.64 | | — | 10.10.10.65 | | — | 10.10.10.66 | | — | 10.10.10.67 | | — | 10.10.10.68 | | — | 10.10.10.69 | | — | 10.10.10.70 | | — | 10.10.10.71 | | — | 10.10.10.72 | | — | 10.10.10.73 | | — | 10.10.10.74 | | — | 10.10.10.75 | | — | 10.10.10.76 | | — | 10.10.10.77 | | — | 10.10.10.78 | | — | 10.10.10.79 | | — | 10.10.10.80 | | — | 10.10.10.81 | | — | 10.10.10.82 | | — | 10.10.10.83 | | — | 10.10.10.84 | | — | 10.10.10.85 | | — | 10.10.10.86 | | — | 10.10.10.87 | | — | 10.10.10.88 | | — | 10.10.10.89 | | — | 10.10.10.90 | | — | 10.10.10.91 | | — | 10.10.10.92 | | — | 10.10.10.94 | | — | 10.10.10.95 | | — | 10.10.10.96 | | — | 10.10.10.97 | | — | 10.10.10.98 | | — | 10.10.10.99 |

  4. Timeline of events

• 00:34 → First successful login: user service from 10.10.10.11.

• 00:37–01:00 → Many failed attempts (“Failed password”, “Invalid user”).

• 01:02 → Successful login: jsmith from 10.10.10.21.

• 01:15 → Successful login: admin from 10.10.10.20 → then became root.

• 01:26–01:39 → Logins as ubuntu and backup from other IPs.

• 02:00–05:00 → More successful logins (admin, backup, jsmith) + root access.

• All night → attackers kept trying, some succeeded, others failed.

5. Mapping to MITRE ATT&CK

Initial Access: Brute force (T1110).

Execution / Persistence: Valid Accounts (T1078).

Privilege Escalation: Abuse of sudo/su.

Lateral Movement: SSH remote login (T1021.004).

6. Mapping to Cyber Kill Chain

1. Reconnaissance: Username guessing.

2. Delivery: SSH login attempts.

3. Exploitation: Password guessing.

4. Installation: (not visible here).

5. Command & Control: (not in this log).

6. Action on Objectives: Root access gained.

   

7. Incident Response (student version)

• Containment (stop the attack now):

  • Block all attacker IPs.

  • Disconnect suspicious SSH sessions.

  • Disable hacked accounts (admin, backup, service, ubuntu, jsmith).

Eradication (remove attackers):

• Change all passwords immediately.

• Turn off password login, use SSH keys only.

• Remove unknown accounts and keys.

Recovery (bring system back safely):

• Restore clean backup or rebuild server.

• Monitor network for strange connections.

Prevention (for future):

• Use MFA for admins.

• Install Fail2Ban to block brute force.

• Limit SSH to trusted IPs only.

  8.Key Learning Points for Students

Attackers often succeed because of weak passwords.

One successful login = full server compromise.

Logs show exactly when and how attackers got in.

Always check for “Accepted password” lines in logs — those mean someone actually got inside.