Re: recuperar lineas borradas del bash_history [ataque]
On Mon, 2008-09-08 at 12:28 +0200, Marc Aymerich wrote:
> Muy buenas listeros,
> este fin de semana entraron en mi servidor de pruevas (la seguridad
> era de 'estar por casa'), presuntamente entraron para perpetar un
> ataque contra otras maquinas, lo malo esque borraron las últimas
> lineas del bash_history y no hay forma de saber que es lo que
> estubieron haciendo. Por suerte, para dejarlo todo intacto, la maquina
> Xen fue apagada con un Destroy, así que ahora hay la oportunidad de
> hacer un analisis forense, lo que pasa esque no tengo ningun
> conocimiento sobre el tema :( ¿Alguien podria orientarme en como
> tratar de recuperar esas lineas borradas?
>
> saludos.
> Marc
>
Marc,
Tampoco soy un conocedor del tema forense, pero se me ocurren algunas
cosas que puedes hacer.
1) Si vas a tomar alguna medida legal, directamente apaga el servidor
que tenía la máquina virtual y crea una imagen de él. Seguramente la
policía forense se encargará de hacerle otra.
2) Securityfocus tiene una lista de correo de forensics, si se te da
bien con el inglés, puedes preguntar por ahí.
3) Si tienes un backup reciente, verificaría que archivos nuevos o
modificaciones tiene el sistema.
4) Verificar que servicios tienes corriendo y averiguar que
vulnerabilidades conocidas hay contra esos servicios.
5) Mirar todos los logs, aunque puede que se hayan encargado de borrar
lo importante, puede que hayan olvidado algo.
6) Con la imagen, en un ámbito seguro, prender la máquina virtual y ver
si trata de conectarse a algún sitio o de mandar algún "aviso".
Es todo lo que se me ocurre que puedes hacer, seguramente en la lista
haya personas con más experiencia al respecto, y en la lista de
forensics de securityfocus puedan darte una guía o algo más de ayuda.
Saludos y suerte pasando el mal trago. A nadie le gusta que jueguen con
los servidores de uno. Si vas descubriendo algo no olvides avisar a la
lista que te estaremos dando nuestro apoyo desde aquí.
Martín
Reply to: