Comenzaré diciendo esto, si NO TIENE ARCHIVOS DE REGISTRO , entonces hay una posibilidad razonablemente buena de que NUNCA entenderá dónde o cómo tuvo éxito el ataque. Incluso con archivos de registro completos y correctos, puede ser extremadamente difícil comprender completamente quién, qué, dónde, cuándo, por qué y cómo.
Entonces, sabiendo lo importantes que son los archivos de registro, comienza a comprender cuán seguro tiene que mantenerlos. Es por eso que las empresas hacen y deberían invertir en información de seguridad y gestión de eventos o SIEM para abreviar.
En pocas palabras, la correlación de todos sus archivos de registro en eventos específicos (basados en el tiempo o no) puede ser una tarea extremadamente desalentadora. Eche un vistazo a los syslogs de su firewall en modo de depuración si no me cree. ¡Y eso es solo de un aparato! Un proceso SIEM coloca estos archivos de registro en una serie de eventos lógicos que hacen que descubrir lo que sucedió sea mucho más fácil de entender.
Para comenzar a comprender mejor el cómo, es útil estudiar las metodologías de penetración .
También es útil saber cómo se escribe un virus . O cómo escribir un rootkit .
También puede ser extremadamente beneficioso configurar y estudiar un honeypot .
También ayuda tener un analizador de registros y ser competente con él.
Es útil recopilar una línea de base para su red y sistemas. ¿Qué es el tráfico "normal" en su situación frente al tráfico "anormal"?
CERT tiene una excelente guía sobre qué hacer después de que su computadora ha sido pirateada, más notablemente (que corresponde directamente a su pregunta específica) la sección sobre "Analizar la intrusión":
- Busque modificaciones realizadas en el software del sistema y los archivos de configuración
- Busque modificaciones en los datos.
- Busque las herramientas y los datos que dejó el intruso.
- Revisar archivos de registro
- Busque signos de un sniffer de red
- Verifique otros sistemas en su red
- Verifique los sistemas involucrados o afectados en sitios remotos
Hay muchas preguntas similares a las suyas que se han formulado en SF:
- Cómo hacer una autopsia de un hack de servidor
- Elementos extraños en el archivo de hosts y Netstat
- ¿Es este un intento de pirateo?
- ¿Cómo puedo aprender Linux desde el punto de vista de piratería o seguridad?
Este puede ser un proceso extremadamente complicado e involucrado. La mayoría de las personas, incluido yo, solo contrataría a un consultor si se involucrara más de lo que mis dispositivos SIEM podrían reunir.
Y, aparentemente, si alguna vez quiere COMPLETAMENTE cómo se piratearon sus sistemas, debe pasar años estudiándolos y abandonar a las mujeres.