Buenas,

hace poco hemos detectado que un servidor Linux de la empresa fue asaltado. Lo que hayan hecho en el servidor no nos preocupa mucho porque era de pruebas y solo tenia instalado software pero no se le daba uso aún.

Principalmente queremos saber como han entrado y quería mirar primero los logs de acceso, pero no los encuentro. Puede que sea /var/log/auth.log??? Es que no lo veo y no se si lo han borrado o en Red Hat se trata de otro fichero.

Ahora voy a tostar una Iso del F.I.R.E. para ver que puedo sacar de información. Me recomendais alguna otra distribución para analisis forense? Y algún manual de paso?

Muchas grácias!

P.D.: De momento lo que he podido ver es que creo un usuario e instaló dos rootkits SHV4 y SHV5.