Marc Aymerich escribió:
Muy buenas listeros,
este fin de semana entraron en mi servidor de pruevas (la seguridad
era de 'estar por casa'), presuntamente entraron para perpetar un
ataque contra otras maquinas, lo malo esque borraron las últimas
lineas del bash_history y no hay forma de saber que es lo que
estubieron haciendo. Por suerte, para dejarlo todo intacto, la maquina
Xen fue apagada con un Destroy, así que ahora hay la oportunidad de
hacer un analisis forense, lo que pasa esque no tengo ningun
conocimiento sobre el tema :( ¿Alguien podria orientarme en como
tratar de recuperar esas lineas borradas?
saludos.
Marc
Mira, ahí existen evidencias, eso es claro. Si pudieras dar un poco mas
de detalles, seria perfecto.
Mientras te puedo decir que hay dos herramientas para hacer un análisis
forense y son las siguientes:
1.- Autopsy
2.- Libtsk1
La primera te ofrece entorno gráfico y la segunda es basada en consola,
las dos se encuentran en los repositorios oficiales de debian.
El segundo corresponde a Sleuth Kit que es una herramienta exclusiva
para sistemas UNIX y que es implementado en sistemas Linux, por lo cual
es la que te recomiendo amplia-mente.
Independiente a ello debes hacer la revisión de MD5 de lo que tienes
instalado y verificar las fechas modificante, con ello saldrán algunos
paquetes que brindaran alguna pista por donde y como entraron.
Revisa /var/spool/(X). Ahi deben estar los registros adicionales aparte
de /var/log.
Revisa el correo interno del sistema en /var/mail/(x)
Revisa los registros de cron en /etc/cron/ estos existen de diario,
semana, etc.
Por lo general un ataque a un sistema no se realiza de inmediato, al
menos que sea totalmente vulnerable. Lo ideal es estudiar un poco la
maquina para poder saber en que momento y por donde hacer eso, por lo
tanto debieron explorar tus puertos, saber que servicios tenias
funcionando y que sistema operativo tenias instalado ahí.
Deverias realizar algunos estudios adicionales, por ejemplo: que puertos
tienes abiertos, que capacidad de disco disponible y compararle de dos o
tres maneras con métodos diferentes, revisar las cantidades de memoria
que se están ejecutando en los procesos y si son las adecuadas a la
carga de trabajo, también debes revisar la red de forma minuciosa para
ver lo que esta sucediendo ahí (esta es una parte muy interesante).
Espero con esto ayudar un poco y si nos das mas datos podríamos ir un
poco mas a fondo sobre este tema, aun que en esta área nada esta escrito
y no existe un método a seguir, es cuestión de ir acomodando el
rompecabezas y estudiar.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]