Salve a tutti ,
vorrei sapere che ne pensate di un episodio che mi è successo un paio di
settimane fa ...
Premetto che io lavoro come freelance per la maggior parte dei casi su
sistemi linux/unix ,
e che spesso ricevo incarichi da altre ditte per interventi presso i
loro clienti ...
Dunque , questa ditta X mi aveva assegnato il compito di andare a vedere
perchè il backup del loro cliente , chiamamolo
geometra Y , non funzionava correttamente dal giorno della sua
installazione , il 3 agosto di quest' anno .
Lo scenario , un serverino linux con samba in una rete windows senza
dominio , che effettua il backup delle home degli utenti ( su cui
scrivono dalle macchine WIN ) su disco di rete .
Esamino la situazione e vedo che lo scriptino in bash che effettua il
backup è composto + o meno nel seguente modo :
../montadisco
cp -ru /home/ /mnt/storage
../smontadisco
aggiungo il parametro f alla copia perchè non si fermi se trova cose
strane nei nomi dei file , aggiungo la she-bang , metto le path assolute
sia qua che nel file montadisco ,che nel file del crontab ( editandolo
con crontab -e , cosa che spesso il tecnico della ditta non fa e fa con
vi , il che non funziona con tutti i cron ) e provo ...
Funziona
Aggiungo dei timestamp con date ,ridirigo l'output delle varie
operazioni a un file di testo con un controllo scemo
con AND e OR nel caso riesca /fallisca , in modo che il cliente sappia
come è andato il backup la mattina dopo e riprovo . Funziona .
A questo punto , sono entrato alle 17:10 ,me ne vado che sono le 18:00
.Era il 26 /09 .
Il backup è impostato alle ore 23:30 .
(Normalmente mi è richiesto di fare il MINIMO perchè se no costo troppo
alla azienda :D , questo è il mondo dove viviamo ... )
Il giorno dopo (il 27/09) mi chiama il titolare della ditta verso le
20:00 e mi chiede che ho fatto che è successo un casino , che sembra
siano stati copiati i file del backup vecchio del 3 agosto sugli
originali nuovi .
Il cliente minaccia azioni legali per la perdita dei dati .
Io rimango esterrefatto e gli dico che non è possibile , io non ho fatto
niente del genere ne sono sicuro .
Quelli della ditta vanno a prendere il server e il disco e gli portano
in laboratorio per una analisi .
Io sono a casa e ogni tanto vengo aggiornato via skype sull' esito delle
analisi , che vanno avanti tutta la notte .
I dati sul disco di rete ( con filesystem FAT32 ) non riescono a
recuperarli in quanto sovrascritti .
Emergono vari fatti :
1) La directory /home ha data di modifica il giorno 26 alle ore 20:30
2) Altre directory hanno data di modifica il giorno 27 dalle ore 17:30
alle ore 18:30
3) Alcuni file hanno un timestamp esageratamente nel futuro ( marzo 2106 )
4) Dalla history del bash non risulta che io abbia fatto niente che non
dovevo .
5) Alla fine si riesce a recuperare praticamente tutto perchè pare che
la notte lo script non sia
riuscito a montare il disco di rete e abbia copiato sul filesystem locale .
Io interpreto la cosa come una evidente scemenza commesa dal cliente che
cerca scorrettamente , molto
scorrettamente , di dare la colpa a qualcun' altro .
Peró successivi controlli , non effettuati da me , attestano che le
macchine in ufficio alle ore 20:30 del 26 erano spente .
E inoltre rimane l'interrogativo , è possibile che i file fossero tutti
esattamente gli stessi e non ce ne fosse uno nuovo che fosse possibile
recuperare dal disco di rete ?
Siccome il cliente ah mandato una letteraccia alla ditta , vorrei avere
una vostra opinione sulla questione ( spero
che il mio racconto sia comprensibile :)
Grazie in anticipo
David
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
