detectar quien borro mis archivos

[Horst H. von Brand]

kazabe <kazabe en gmail.com> wrote:
> Tengo un servidor que solamente cumple funciones en la red local, sin tener
> acceso a internet por ningun lado.  Puntualmente sus funciones son publicar
> una intranet, publicar directorios puntuales por FTP y correo interno.

Extremadamente riesgoso lo de FTP.

> Hace unas cuantas horas, he detectado que faltan muchos directorios con
> documentos de caracter general de la empresa, pero he revisado el historial
> de los unicos tres usuarios con acceso por shell al servidor, y no hay
> ningun rastro de borrado de archivos, asi que solo se me ocurre que el
> borrado se haya realizado por FTP.

O que se te colo un malnacido jaquel.

Debieran haber registros propios de FTP por alli...

> Como puedo encontrar un registro o algo que me indique en que momento se
> borro la informacion, y algun indicio de quien lo hizo?   sinceramente estoy
> muy desorientado en ese tema.

Debieras mejor concentrarte en salvar lo que puedas, y luego reinstalar
/y configurar, y actualizar a fondo/ todo el sistema.

Cierra acceso a FTP, las password pasan tal cual por la red (son muy
faciles de capturar), y varios servidores FTP han tenido pifias que
permiten hacer cosas no santas. FTP es /unicamente/ para acceso
anonimo. Usa SSH (putty o afines desde Hasefroch, si es menester).

> Gracias de antemano por su colaboracion.

Mis condolencias.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000       Fax:  +56 32 2797513