La scorsa settimana ho avuto una distribuzione debian di Linux accessibile da Internet compromessa tramite SSH per 24 ore. Per quanto ne so, l'autore dell'attacco potrebbe ottenere i privilegi di root e compiere alcune azioni dannose.
L'utente malintenzionato ha eliminato il file .bash_history, l'intera cartella / var / log e ha riavviato la macchina.
Ho cercato di recuperare gli inode dai log cancellati ma debugfs non mostra risultati. Il comando "last" non viene mostrato come il file di log è stato cancellato. Anche il file "/var/log/auth.log" è stato cancellato (come ho detto, l'intera directory / var / log è stata cancellata).
Non so dove guardare dato che si tratta di una distribuzione standard senza pacchetti aggiuntivi installati, poiché quasi tutti gli strumenti utilizzano la cartella / var / log per memorizzare quel tipo di informazioni. Qualche idea?