La semana pasada tuve una distribución de Linux debian accesible desde Internet comprometida a través de SSH durante 24 horas. Por lo que sé, el atacante podría obtener privilegios de root y realizar algunas acciones maliciosas.
El atacante eliminó el archivo .bash_history, toda la carpeta / var / log y reinició la máquina.
He estado intentando recuperar inodos de registros eliminados, pero debugfs no muestra resultados. El comando "último" no se muestra cuando se eliminó el archivo de registro. El archivo "/var/log/auth.log" también se eliminó (como dije, se eliminó todo el directorio / var / log).
No sé dónde buscar, ya que esta es una distribución estándar sin paquetes adicionales instalados, ya que casi todas las herramientas usan la carpeta / var / log para almacenar ese tipo de información. ¿Alguna idea?