Estoy investigando una violación de datos en la empresa para la que trabajo. Parece que los intrusos lograron acceder a un servidor desde la red interna al comprometer a un enrutador que es compatible con PPTP vpn y usar este enrutador como un pivote hacia el servidor.
Obviamente, los registros del enrutador se han borrado.
¿Podría algún modo recuperar los registros eliminados?
Debo mencionar que el enrutador es un asus rt n53 y tenía una contraseña débil.
Gracias
Asus usa ASUSWRT, que puede ser descompilado, modificado, etc., pero en cuanto a la eliminación de datos, una vez que desaparece, desaparece. No puedo ver a nadie en el campo forense dispuesto a dar la hora del día para realizar cualquier trabajo forense en un enrutador SoHo, por lo que estaría perdiendo un montón de tiempo. Si tiene acceso a telnet, puede intentar verificar sus registros de copia de seguridad (en caso de que no sepa que existen) si está ejecutando el Firmware Merlin . Las copias de seguridad se almacenan en /jffs/syslog.log ... Si no está ejecutando Merlin, puede actualizar el firmware de su enrutador, o configurar un servidor syslog, y hacer que su enrutador envíe los registros allí. Regla de oro común ... Cambie las contraseñas a algo extremadamente fuerte, especialmente en su punto de entrada principal
EDITADO:
" No puedo ver a nadie en el campo forense dispuesto a dar la hora del día para realizar cualquier trabajo forense en un enrutador SoHo " El costo de seguir los movimientos para realizar un análisis forense / la recuperación de datos sería muy costosa. En función del tipo de enrutador que mencionó, se puede inferir que se usa en una pequeña empresa, lo que probablemente significa que es menos probable que este negocio pague miles de dólares para el análisis y / o la recuperación. El análisis forense no es barato, y no es un proceso rápido.
Lea otras preguntas en las etiquetas router