Buenas,
hace poco hemos detectado que un servidor Linux de la empresa fue asaltado. Lo que hayan hecho en el servidor no nos preocupa mucho porque era de pruebas y solo tenia instalado software pero no se le daba uso aún.
Principalmente queremos saber como han entrado y quería mirar primero los logs de acceso, pero no los encuentro. Puede que sea /var/log/auth.log??? Es que no lo veo y no se si lo han borrado o en Red Hat se trata de otro fichero.
Ahora voy a tostar una Iso del F.I.R.E. para ver que puedo sacar de información. Me recomendais alguna otra distribución para analisis forense? Y algún manual de paso? :D
Muchas grácias!
P.D.: De momento lo que he podido ver es que creo un usuario e instaló dos rootkits SHV4 y SHV5.