Soy un linux noob y tengo una tarea en la que estoy un poco aturdido ... Nos dieron imágenes y archivos en bruto de VirtualBox (vdi) para el estado de un servidor Linux en 3 fechas diferentes.
Se supone que debemos responder:
- ¿En qué orden entraron las personas y se dieron cuentas?
- ¿Un usuario determinado arruinó la funcionalidad de ssh para todos?
- ¿Qué otros chanchullos han estado haciendo las personas?
- sugerencias: consulte / var / log / y los programas extcarve y Bulk Extractor
Y no se nos enseña cómo hacer nada de esto :(
Mis pensamientos / preguntas:
- Estoy viendo el archivo / etc / shadow ahora para las cuentas de usuario. Esto debería funcionar bien? ¿No me falta nada si lo hago de esta manera?
- Googlear dio lugar a la existencia de un archivo / etc / ssh / ssh_config, pero no tengo idea de qué buscar aquí ... ¿Algún consejo? ¿Es posible decir quién modificó un archivo? ¿O necesito revisar cada /.bash_history de cada usuario para verificar? x_x
- Miré el directorio / var / logs y no vi nada útil inmediatamente. ¿Alguna idea de lo que él quiere que busquemos aquí?
- No estoy seguro de qué otros chanchullos quiere que busquemos. extcarve y Bulk extractor suenan útiles si está tratando de armar estadísticas en todo el disco, o tal vez se eliminó un archivo y desea verificar qué queda de él. ¿Crees que eso es lo que él tiene en mente?
Lo siento por las preguntas de noob, ¡pero gracias por cualquier ayuda!