Tentando recuperar um arquivo .bash_history excluído

0

É para uma tarefa praticar um pouco de perícia. Recebemos imagens do VirtualBox e nos disseram para descobrir se um determinado usuário bagunçou a configuração do ssh.

Eu montei a imagem como somente leitura e descobri que a .bash_history do usuário diz:

rm .bash_history
exit

Estou bem preso. Alguém tem algum conselho?

Atualmente estou tentando (sem sucesso) descobrir a ferramenta extcarve e quais são seus arquivos de saída.

    
por user1399747 04.04.2013 / 21:51

2 respostas

1

Pode haver uma maneira mais simples de fazer isso, mas é isso que eu tentaria com uma máquina física:

  1. Adicione uma segunda unidade.

  2. Inicialize a partir de uma imagem do Live CD do Ubuntu (de preferência 12.04 LTS).

  3. Abra um terminal e instale PhotoRec executando

    sudo apt-get install testdisk
    
  4. Monte o disco que você deseja recuperar para .

  5. Iniciar o PhotoRec:

    sudo photorec
    
  6. Selecione o disco apropriado.

  7. Desmarque tudo, exceto txt , em Opção de arquivo .

  8. Selecione a partição apropriada.

  9. Selecione o sistema de arquivos apropriado.

  10. Livre deve ser suficiente. Você pode tentar novamente com Whole , se não o fizer.

  11. Escolha um destino para os arquivos no disco montado.

  12. Aguarde o processo terminar.

  13. Pesquise a saída com o grep:

    grep -R ssh_config /media/<mountpoint>
    

É improvável que o arquivo de histórico do Bash fique fragmentado, então - a menos que o arquivo já tenha sido sobrescrito - isso deve funcionar.

Tenha em mente que alguém que sabe o que está fazendo não será pego por isso. É fácil evitar que o comando seja salvo no arquivo de histórico definindo HISTCONTROL=ignorespace e prefixando os comandos com um espaço ou apenas matando o terminal sem sair corretamente.

    
por 04.04.2013 / 22:25
1

Este é um daqueles momentos em que você é forçado a aprender uma lição depois do fato.

.bash_history é uma maneira bastante fraca de garantir que seus usuários não estejam sendo desobedientes, no entanto, você pode secure .bash_history configurando chattr flags.

    
por 04.04.2013 / 21:58