Salvador Garcia Z. escribió:
Hola, por mi experiencia pienso que mas que borrar las últimas líneas del .bash_history lo que han hecho habrá sido un unset $HISTFILE, es más rápido y más limpio y no es posible su recuperación. Si tienes el accounting activado prueba con el comando history, asi puedes comprobar si efectivamente han hecho eso u otra cosa ...Marc Aymerich escribió:Mira, ahí existen evidencias, eso es claro. Si pudieras dar un poco mas de detalles, seria perfecto.Muy buenas listeros, este fin de semana entraron en mi servidor de pruevas (la seguridad era de 'estar por casa'), presuntamente entraron para perpetar un ataque contra otras maquinas, lo malo esque borraron las últimas lineas del bash_history y no hay forma de saber que es lo que estubieron haciendo. Por suerte, para dejarlo todo intacto, la maquina Xen fue apagada con un Destroy, así que ahora hay la oportunidad de hacer un analisis forense, lo que pasa esque no tengo ningun conocimiento sobre el tema :( ¿Alguien podria orientarme en como tratar de recuperar esas lineas borradas? saludos. MarcMientras te puedo decir que hay dos herramientas para hacer un análisis forense y son las siguientes:1.- Autopsy 2.- Libtsk1La primera te ofrece entorno gráfico y la segunda es basada en consola, las dos se encuentran en los repositorios oficiales de debian. El segundo corresponde a Sleuth Kit que es una herramienta exclusiva para sistemas UNIX y que es implementado en sistemas Linux, por lo cual es la que te recomiendo amplia-mente.Independiente a ello debes hacer la revisión de MD5 de lo que tienes instalado y verificar las fechas modificante, con ello saldrán algunos paquetes que brindaran alguna pista por donde y como entraron. Revisa /var/spool/(X). Ahi deben estar los registros adicionales aparte de /var/log.Revisa el correo interno del sistema en /var/mail/(x)Revisa los registros de cron en /etc/cron/ estos existen de diario, semana, etc.Por lo general un ataque a un sistema no se realiza de inmediato, al menos que sea totalmente vulnerable. Lo ideal es estudiar un poco la maquina para poder saber en que momento y por donde hacer eso, por lo tanto debieron explorar tus puertos, saber que servicios tenias funcionando y que sistema operativo tenias instalado ahí.Deverias realizar algunos estudios adicionales, por ejemplo: que puertos tienes abiertos, que capacidad de disco disponible y compararle de dos o tres maneras con métodos diferentes, revisar las cantidades de memoria que se están ejecutando en los procesos y si son las adecuadas a la carga de trabajo, también debes revisar la red de forma minuciosa para ver lo que esta sucediendo ahí (esta es una parte muy interesante).Espero con esto ayudar un poco y si nos das mas datos podríamos ir un poco mas a fondo sobre este tema, aun que en esta área nada esta escrito y no existe un método a seguir, es cuestión de ir acomodando el rompecabezas y estudiar.
Suerte :)