- Investigação Mikrotik
+ Responder ao Tópico
-
Investigação Mikrotik
Olá a todos,
Tive um grande problema esta semana com alguns Mikrotiks, um usuário ganhou acesso ao sistema com a senha de administrador e tornou o sistema inoperante, os motivos já foram descobertos e a pessoa também, mas o vamos ao que interessa: Para anexar ao B.O. eu preciso de provas concretas, preciso saber se os logs podem fornecer provas mais concretas como MAC x IP X hora que o cara acessou e é claro se existe a possibilidade de eu extrair esse log da RB e de mais um HD., que também foi afetado.
SOBRE A RB: Quando resetei a RB todos sabem q ele cria um backup de Before (antes) do reset-default, a pergunta é: Restaurando o Backup file pra outra RB poderei conseguir acesso pela porta serial sem utilizar a senha ? é possível? os logs vão estar no Backup ?
SOBRE O HD: Existe alguma ferramenta para alterar a senha pelo Boot? assim como fazemos pelo LILO / windows / Grub e resetá-la preservando as configurações e os LOGS, pois só os logs interessam.
Agradeço a atenção;
-
o HD eu tenho certeza que se você não deu "Restore " com o CD é só você pegar ele e colocar em um PC windows
usar o Ext2Ifs
la dentro tem os logs de tudo que o cara fez usando o usuario ADMIN!
e tambem tem os logs de acesso com mac e hora.. isso no HD,
nas routerboard se ela tiver (coisa que não sei)
o CF Card, dá pra vc pegar ele (isso se você não fez o processo de restauração do sistema) e por em um USB que tem a saida pra ele , e usar o ext2ifs tambem..
ambos da pra pegar os logs e tudo mais!
acessando assim o sistema Mikrotik.
além de tornar uma prova Criminal , você anexa junto o HD e o CF card que mostra que você não alterou os logs e mostra as ações do mesmo.
Já fiz isso,
Problema resolvido.
-
puxa vida amigo,
muito obrigado ... amanhã mesmo já irei partir pro lado do HD, que parece ter mais chances de ter algo.
agradeço mais um vez e vou agradecer pelo botão também;
abraços
-
Na versão 3x do MK reconhece MULT-CPU aki utilizamos em nosso servidor um DELL 1750 com 2 xeon dual aki recenhece 4 nucleos
eh só vc ir no terminal e system hardware mult-cpu=yes