Log de Invasão

Marcado: , ,

Visualizando 3 respostas da discussão
  • Autor
    Posts
    • #20413
      fantinirp
      Participante

      Boa tarde galera, tudo bem? Onde eu consigo um log que identifica se meu sistema foi invadido ou teve tentativa de invasão? Alguem pode me ajudar neste caso?

    • #20414
      Eduardo Silva
      Participante

      Não tem um “log específico para invasão”.
      Inclusive se alguém conseguiu acesso como root ao seu servidor, ele pode ter removido logs associados a este acesso.

      Porque você tem essa suspeita?

    • #20415
      fantinirp
      Participante

      Eduardo Silva, boa tarde.
      Na verdade o Diretor da Empresa está desconfiado de invasão, pois algumas informações sigilosas da empresa “vazaram”.
      Tem alguma coisa que eu possa fazer para pelo menos tentar identificar uma possível invasão?

    • #20416
      Eduardo Silva
      Participante

      Olha…
      Este é um assunto bem delicado, complexo e amplo. posso passar horas escrevendo e devaneando sobre o assunto.

      Em outras palavras você sabe como ocorreu o vazamento? Sabe o que está procurando?
      Que tipo de vazamento que é? Um grupo hacker publicou informações sobre a empresa? o concorrente está usando essas informações?
      Que tipo de informação que vazou? Cartões de crédito e logins de contas de email? dados referentes ao tráfego web? documentos sigilosos?
      O seu firewall tem serviços abertos para a internet? (posso acessar de fora o ssh ou a web interface do endian)?

      Sem querer faltar com o respeito, mas normalmente um diretor não tem a menor ideia de como funciona um firewall, muito menos de como funciona o Linux. (To imaginando um cenário tipo… O diretor entra na sala brabo e perguntando “Como que o meu concorrente sabe sobre o produto X? Deve ter sido esse firewall, se fosse um firewall da marca Y isso nunca aconteceria”, ou pode ser uma simples transferência de culpa).

      Supondo que são assuntos confidenciais que vazaram, eu levantaria as suspeitas:
      – Alguém espetou um pendrive em um computador e copiou os documentos?
      – Algum usuário teve a sua conta de email comprometida por um malware ou simplesmente usava uma senha tão simples como 123456 (acredite, isso ainda acontece se não houver uma política forçando senhas fortes)
      – computador com malware/virus ou algum backdoor?

      Mas deixando os palpites de lado e respondendo a sua pergunta…

      – Você pode começar analisando os logs do endian (em /var/log/)
      – Procurar processos estranhos rodando
      – arquivos modificados recentemente

      Quer saber se o sistema foi comprometido mesmo? Desligue o endian, tire o hd e separe ele.
      Pegue um novo hd e monte um endian temporário para a empresa continuar em operação.

      Pegue um terceiro hd, instale outro endian da mesma versão, desligue o endian novo, e ponha os dois hds como secundários em uma máquina linux.
      Compare as diferenças entre os dois discos, a vantagem do endian não se atualizar é que os arquivos de sistema permanecem os mesmos por muuuuuuuuuuito tempo.

      espero ter ajudado

      • #20418
        fantinirp
        Participante

        Eduardo Silva, você imaginou exatamente o que aconteceu…rsss….O diretor entrou na minha sala brabo e perguntou “Como que o meu concorrente sabe os preços dos meus produtos? Foi exatamente assim.
        Agora ele quer que eu veja se teve invasão ou não. Ontem passei o dia inteiro olhando LOGs….comparei logs de outras semanas, está tudo “normal”, nada de diferente, nada de estranho.
        Bom, desde já eu agradeço a sua ajuda, me ajudou muito mesmo….muito obrigado!!!!!!!!!!!!
        Fique com Deus, grande abraço!

Visualizando 3 respostas da discussão
  • O tópico ‘Log de Invasão’ está fechado para novas respostas.