trochu forenzna úloha

Sekcia: Konfigurácia 16.11.2015 | 22:05
steev   Návštevník

Čaute, mám taký menší, a vlastne dosť veľký problém, s ktorým by som potreboval helfnúť:

Doma mám desktop s linuxom kubuntu, v ktorom mám uložené nejaké fotky, dokumenty a pod. no používa ho zväčša moja mama. Mal som disk už dosť plný, keď som si pred časom všimol, že sa mi znenazdajky uvoľnilo doosť veľa priesotru...(cca polovica)... nevenoval som tomu až takú pozornosť, lebo som sa akurát potešil, že mama zrejme konečne fotky odzálohovala niekam mimo disk. Dva dni doazdu som však zistil, že mi pomizli dokumenty z libreoffice, a taktiež z videa ktoré som renderoval mi zostalo iba iso...(celý projekt aj zložky so zdrojovými súbormi tam sice boli, ale boli prázdne).... proste zmizlo mi dosť veľa dát... no keďže od toho premazania prešla určitá doba než som vôbec zistil čo sa stalo, nepodarili sa mi všetky dokumenty pomocou extundelete obnoviť... vec to nieje nijako kritická, väčšina tých súborov mi chýbať nebude... problém však nastáva ten, že ani netuším kto a ako to zmazal....a tak sa bojím, aby nezačali miznúť ďalšie veci..... otázka znie: dá sa zistiť, kedy tieto súbory a kým boli zmazané? je známy nejaký druh infikácie linuxového systému s podobným chovaním? pozeral som logy z FTP servera, no posledná aktivita v nich bola moja cca pred pol rokom....okrem FTP portu mi nmap na PC detekoval ešte otvorené porty 445,139,631.

Za všetky rady a tipy vopred veľká vďaka.

    • RE: trochu forenzna úloha 17.11.2015 | 00:04
      Avatar samalama   Návštevník

      otvorené porty 445,139

      ou jeee

      • RE: trochu forenzna úloha 17.11.2015 | 05:25
        Avatar lili321   Návštevník

        ake mu davas riesenie na tie otvorene porty OU JEEE

        • RE: trochu forenzna úloha 17.11.2015 | 07:37
          Avatar WlaSaTy   Návštevník

          On? Žiadne. On tu ani raz nedal ani jednu radu. On tu len trolí.

          Inak, logy zo Samby sú obvykle v /var/log/samba/ a v nich si môže pozrieť kto tam čo stváral. Ostatné sú o úroveň vyššie. Na rozoberanie politiky prístupov, politiky hesiel a či bol schovaný vo vnútornej sieti neviem či bude diskusia. Pokiaľ viem, tie porty sú natvrdo blokované poskytovateľmi internetu. A navyše otázka bola nie ako to zabezpečiť, ale kde sa dá zistiť niečo o tom mazaní a či je známa kompromitácia. Na druhú otázku neodpovedám, nech z toho nevznikne plamenná diskusia.

          • RE: trochu forenzna úloha 17.11.2015 | 09:41
            Avatar steev   Návštevník

            Vďaka WlaSaTy, skúsim pozrieť logy samby. Je ich tam však trochu dosť. Bolo by fajn, keby som zistil, kedy aspoň priblizne boli tie súbory mazané... tým by som vlastne aj zistil , či ich niekto/niečo zmazalo v jednom čase, alebo to beží postupne. Dá sa to cez nejaký nástroj zistiť zo žurnálu? Testdisk mi poskytol len prehlad suborov na disku(aj tých zmazaných), no myslím, že mi zobrazil len dátum vytvorenia.

            • RE: trochu forenzna úloha 17.11.2015 | 14:28
              Avatar WlaSaTy   Návštevník

              Dátum a čas zmazania súboru má na súborovom systéme zmysel, len ak je použitá technológia žurnál navždy. Pochybujem že máš taký súborový systém. A v logoch samby môžeš teoreticky zistiť kto alebo odkial tie súbory odmazával. Ale zistíš akurát to, že to bola buď škodoradostná návšteva (mačka na klávesnici alebo nezletilé decko ktorému sa páči ako lietajú súbory do koša) alebo že tie súbory prepísalo mallware a následne to vymazal antivírus. V každom prípade si to mal mať chránené aspoň na úrovni užívateľov, a zálohované.