路由器取证

Question

我正在调查我工作的公司的数据泄露事件。似乎入侵者通过损害支持PPTP vpn的路由器并使用此路由器作为服务器的枢纽，从内部网络访问服务器。

显然路由器的日志已经被清除了。

我能谈谈如何恢复已删除的日志吗？

我必须指出，路由器是一个华硕rt n53，并有一个弱密码。

谢谢

Answer 1

Asus使用ASUSWRT，它可以被解压缩、修改等，但是对于数据删除，一旦它消失了，它就消失了。我看不出法医领域的任何人愿意给出一天中的时间在SoHo路由器上执行任何取证工作，所以你将浪费大量的时间。如果您拥有telnet访问权限，您可以尝试在运行梅林固件时检查备份日志(如果您不知道这些日志是否存在)。备份存储在/jffs/syzab.log ..。如果您没有运行Merlin，您可以升级您的路由器固件，或者配置syslog服务器，并让您的路由器在那里发送日志。一般经验法则..。将密码更改为非常强的密码，特别是在您的主要入口点。

编辑：

“我看不出法医领域的任何人愿意给出一天中的时间在SoHo路由器上执行任何取证工作”，执行法医/数据恢复的过程所需的费用将非常昂贵。根据您提到的路由器类型，可以推断它用于小型企业，这很可能意味着，该业务不太可能花费数千美元进行分析和或恢复。法医并不便宜，也不是一个快速的过程。