Sto indagando su una violazione dei dati nell'azienda per cui lavoro. Sembra che gli intrusi siano riusciti ad accedere a un server dalla rete interna compromettendo un router che supporta PPTP vpn e che utilizza questo router come pivot sul server.
Ovviamente i log del router erano stati cancellati.
Posso recuperare alcuni registri cancellati?
Devo dire che il router è asus rt n53 e aveva una password debole.
Grazie
Asus usa ASUSWRT che può essere decompilato, modificato, ecc. ma per quanto riguarda la rimozione dei dati, una volta che è sparito, non c'è più. Non riesco a vedere nessuno nel campo forense disposto a dare l'ora del giorno per eseguire qualsiasi lavoro forense su un router SoHo, quindi sprecheresti un sacco di tempo. Se disponi dell'accesso telnet, puoi provare a controllare i registri di backup (nel caso in cui non sapessi che esistessero) se esegui Firmware Merlin . I backup sono archiviati in /jffs/syslog.log ... Se non si utilizza Merlin, è possibile aggiornare il firmware del router o configurare un server syslog e fare in modo che il router invii i registri lì. Comune regola del pollice ... Cambia le password in qualcosa di estremamente strong, specialmente nel punto di ingresso principale
A CURA:
" Non riesco a vedere nessuno nel campo forense disposto a dare l'ora del giorno per eseguire qualsiasi lavoro forense su un router SoHo " Il costo di passare attraverso il movimento dell'esecuzione di una scientifica / il recupero dei dati sarebbe molto costoso. In base al tipo di router che hai citato, si può dedurre che sia utilizzato in una piccola azienda, il che probabilmente significa che questa attività ha meno probabilità di sborsare migliaia di dollari per l'analisi e il recupero. Forensics non è economico, e non è un processo rapido.
Leggi altre domande sui tag router