- Este tópico contém 4 respostas, 2 vozes e foi atualizado pela última vez 8 anos, 7 meses atrás por
.
- Posts
Boa tarde galera, tudo bem? Onde eu consigo um log que identifica se meu sistema foi invadido ou teve tentativa de invasão? Alguem pode me ajudar neste caso?
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Olha…
Este é um assunto bem delicado, complexo e amplo. posso passar horas escrevendo e devaneando sobre o assunto.Em outras palavras você sabe como ocorreu o vazamento? Sabe o que está procurando?
Que tipo de vazamento que é? Um grupo hacker publicou informações sobre a empresa? o concorrente está usando essas informações?
Que tipo de informação que vazou? Cartões de crédito e logins de contas de email? dados referentes ao tráfego web? documentos sigilosos?
O seu firewall tem serviços abertos para a internet? (posso acessar de fora o ssh ou a web interface do endian)?Sem querer faltar com o respeito, mas normalmente um diretor não tem a menor ideia de como funciona um firewall, muito menos de como funciona o Linux. (To imaginando um cenário tipo… O diretor entra na sala brabo e perguntando “Como que o meu concorrente sabe sobre o produto X? Deve ter sido esse firewall, se fosse um firewall da marca Y isso nunca aconteceria”, ou pode ser uma simples transferência de culpa).
Supondo que são assuntos confidenciais que vazaram, eu levantaria as suspeitas:
– Alguém espetou um pendrive em um computador e copiou os documentos?
– Algum usuário teve a sua conta de email comprometida por um malware ou simplesmente usava uma senha tão simples como 123456 (acredite, isso ainda acontece se não houver uma política forçando senhas fortes)
– computador com malware/virus ou algum backdoor?Mas deixando os palpites de lado e respondendo a sua pergunta…
– Você pode começar analisando os logs do endian (em /var/log/)
– Procurar processos estranhos rodando
– arquivos modificados recentementeQuer saber se o sistema foi comprometido mesmo? Desligue o endian, tire o hd e separe ele.
Pegue um novo hd e monte um endian temporário para a empresa continuar em operação.Pegue um terceiro hd, instale outro endian da mesma versão, desligue o endian novo, e ponha os dois hds como secundários em uma máquina linux.
Compare as diferenças entre os dois discos, a vantagem do endian não se atualizar é que os arquivos de sistema permanecem os mesmos por muuuuuuuuuuito tempo.espero ter ajudado
Eduardo Silva, você imaginou exatamente o que aconteceu…rsss….O diretor entrou na minha sala brabo e perguntou “Como que o meu concorrente sabe os preços dos meus produtos? Foi exatamente assim.
Agora ele quer que eu veja se teve invasão ou não. Ontem passei o dia inteiro olhando LOGs….comparei logs de outras semanas, está tudo “normal”, nada de diferente, nada de estranho.
Bom, desde já eu agradeço a sua ajuda, me ajudou muito mesmo….muito obrigado!!!!!!!!!!!!
Fique com Deus, grande abraço!
- O tópico ‘Log de Invasão’ está fechado para novas respostas.