Tentando recuperar um arquivo .bash_history excluído

0

É uma tarefa praticar um pouco de forense. Recebemos imagens do VirtualBox e somos instruídos a descobrir se um determinado usuário alterou a configuração do ssh.

Montei a imagem como somente leitura e descobri que o .bash_history do usuário lê:

rm .bash_history
exit

Eu estou bem preso. Alguém tem algum conselho?

Atualmente, estou tentando (sem êxito) descobrir a ferramenta extcarve e quais são seus arquivos de saída.

linux data-recovery hard-drive-recovery forensics user1399747
fonte
Quão difícil é a aula? Eles esperam que você já consiga analisar dados brutos ext2 / 3/4 ou eles ainda são fáceis (como quem é o proprietário do arquivo de configuração sshd)?
Hennes
Programas como extcarve e exaustor massa foram não muito sutilmente insinuado ...
user1399747

Respostas:

1

Pode haver uma maneira mais simples de fazer isso, mas é isso que eu tentaria com uma máquina física:

  1. Adicione uma segunda unidade.

  2. Inicialize a partir de uma imagem do Ubuntu Live CD (de preferência 12.04 LTS).

  3. Abra um terminal e instale o PhotoRec executando

    sudo apt-get install testdisk

  4. Montar o disco que você deseja recuperar a .

  5. Inicie o PhotoRec:

    sudo photorec

  6. Selecione o disco apropriado.

  7. Desmarque tudo, exceto txt, no arquivo Opt .

  8. Selecione a partição apropriada.

  9. Selecione o sistema de arquivos apropriado.

  10. Livre deve ser suficiente. Você pode tentar novamente com Whole, se isso não acontecer.

  11. Escolha um destino para os arquivos no disco montado.

  12. Aguarde o processo terminar.

  13. Pesquise a saída com grep:

    grep -R ssh_config /media/<mountpoint>

É improvável que o arquivo de histórico do Bash se torne fragmentado; portanto, a menos que o arquivo já tenha sido substituído, isso deve funcionar.

Lembre-se de que alguém que sabe o que está fazendo não será pego por isso. É fácil impedir que os comandos sejam salvos no arquivo de histórico, definindo HISTCONTROL=ignorespacee acrescentando os comandos com um espaço ou apenas matando o terminal sem sair corretamente.

Dennis
fonte
Bom conselho. Infelizmente, não havia nada útil contendo "ssh_config", apenas arquivos .h e .java. Vou tentar procurar o nome do usuário em seguida, eu acho. Caso contrário, estou um pouco perplexo.
user1399747
1

Este é um daqueles momentos em que você é forçado a aprender uma lição após o fato.

.bash_historyé uma maneira bastante fraca de garantir que seus usuários não sejam mal- intencionados ; no entanto, você pode proteger .bash_history definindo chattrsinalizadores.

jnovack
fonte
Você precisaria definir o sinalizador de acréscimo somente antecipadamente. E espero que o uso use o bash como um shell em vez de outra coisa.
Hennes
Sim, senti que dizer "aprender uma lição depois do fato" cobria esse conceito.
jnovack