Cómo auditar el inicio de sesión en una distribución de Debian si se eliminó var / log

Navega tus respuestas
2

La semana pasada tuve una distribución de Linux debian accesible desde Internet comprometida a través de SSH durante 24 horas. Por lo que sé, el atacante podría obtener privilegios de root y realizar algunas acciones maliciosas.

El atacante eliminó el archivo .bash_history, toda la carpeta / var / log y reinició la máquina.

He estado intentando recuperar inodos de registros eliminados, pero debugfs no muestra resultados. El comando "último" no se muestra cuando se eliminó el archivo de registro. El archivo "/var/log/auth.log" también se eliminó (como dije, se eliminó todo el directorio / var / log).

No sé dónde buscar, ya que esta es una distribución estándar sin paquetes adicionales instalados, ya que casi todas las herramientas usan la carpeta / var / log para almacenar ese tipo de información. ¿Alguna idea?

    
pregunta Alex Deiwor 25.12.2015 - 18:30
fuente

1 respuesta

3

Su mejor apuesta es buscar "linux de recuperación de datos forenses" y continuar desde allí. Sin embargo, tenga en cuenta que si el atacante era bueno, probablemente no solo eliminaron los registros, sino que utilizaron una herramienta como "triturar" que hace que la recuperación de archivos sea casi imposible (o al menos muy costosa). p>

Sin embargo, no hay mucha información útil que puedas obtener de esos registros. Probablemente pueda encontrar una IP utilizada para lanzar el ataque, pero lo más probable es que la rastree hasta un nodo de salida de TOR.

En el futuro, una de las mejores cosas que puede hacer es configurar un servidor de syslog de red reforzado que recopile datos de syslog de sus sistemas de acceso a Internet. Esto le permitirá analizar sus datos de registro incluso si sus registros locales se han eliminado.

    
respondido por el mricon 25.12.2015 - 22:25
fuente

Lea otras preguntas en las etiquetas

Cómo leer cadenas de certificados en OpenSSL Enfoque de aislamiento y contención de incidentes