Como encontrar o usuário que apagou o arquivo?

2

Algum usuário no meu servidor acabou de excluir um arquivo, quero descobrir quem fez isso. Percorrer o histórico de todos não é viável e o comando não pode ser tão simples quanto rm -rf file . É possível saber quem fez as últimas alterações em uma pasta? Estou no linux.

    
por username_4567 04.02.2016 / 13:01

2 respostas

2

Em geral, é difícil descobrir quem apagou os arquivos, quem modificou os arquivos sem saber sobre o 'sistema de registro' ou eventos pré-configurados

Tente descobrir quem registrou no momento em que o diretório foi excluído.

  • check the OS syslog (/var/adm/syslog/syslog.log for hp-ux, /var/log/messages for linux)

  • Try the last commando to get a list of who logged on when

  • Check the command histories of the sidadm, root user, use the history command, or the h alias

  • Check if there are scripts running, which regularly delete files

Além disso, você pode dar uma olhada nos seus usuários. bash_history , supondo que eles usem o bash:

Execute os comandos abaixo no terminal:

cd /home

find 'ls'/.bash_history -exec /usr/bin/grep "deleted-filename" {} /dev/null \;

é um arquivo que somente o root pode deletar, então olhe para o .bash_history do root, mas então você tem que descobrir quem estava logado como root ou su'ed para root. Para isso, o comando last root | more pode ajudá-lo

Como o diretório trans pode ser montado pelo NFS em outros servidores, talvez seja necessário fazer as verificações lá também.

Além disso, para uso futuro, instale quaisquer soluções SIEM de código aberto, como alienvault, etc, que possam ajudá-lo a manter e registrar os eventos.

    
por 04.02.2016 / 13:15
0

Etapa 1: ative a contabilização do processo.

Etapa 2: ativar o registro fascista de tty adicione / ative pam_tty_audit.so no seu sistema de pam-auth

Etapa 3: pesquisar a atividade do usuário usando ausearch

    
por 04.02.2016 / 14:30

Tags