Come verificare l'accesso su una distribuzione Debian se var / log è stato cancellato

2

La scorsa settimana ho avuto una distribuzione debian di Linux accessibile da Internet compromessa tramite SSH per 24 ore. Per quanto ne so, l'autore dell'attacco potrebbe ottenere i privilegi di root e compiere alcune azioni dannose.

L'utente malintenzionato ha eliminato il file .bash_history, l'intera cartella / var / log e ha riavviato la macchina.

Ho cercato di recuperare gli inode dai log cancellati ma debugfs non mostra risultati. Il comando "last" non viene mostrato come il file di log è stato cancellato. Anche il file "/var/log/auth.log" è stato cancellato (come ho detto, l'intera directory / var / log è stata cancellata).

Non so dove guardare dato che si tratta di una distribuzione standard senza pacchetti aggiuntivi installati, poiché quasi tutti gli strumenti utilizzano la cartella / var / log per memorizzare quel tipo di informazioni. Qualche idea?

    
posta Alex Deiwor 25.12.2015 - 18:30
fonte

1 risposta

3

La soluzione migliore è la ricerca di "forensic data recovery linux" e di andare da lì. Tenete a mente, però, che se l'hacker era bravo, probabilmente non si limitava a cancellare i registri, ma utilizzava uno strumento come "shred" che rende il recupero di file praticamente impossibile (o almeno molto costoso).

Tuttavia non ci sono molte informazioni utili che puoi ottenere da quei log. Probabilmente puoi trovare un IP usato per lanciare l'attacco, ma molto probabilmente lo ricondurresti a un nodo di uscita TOR.

Per il futuro, una delle cose migliori che puoi fare è configurare un server syslog di rete consolidato che raccolga i dati syslog dai sistemi rivolti su Internet. Questo ti consentirà di analizzare i tuoi dati di registro anche se i tuoi registri locali sono stati cancellati.

    
risposta data 25.12.2015 - 22:25
fonte

Leggi altre domande sui tag