sabotagem no Sistema? "A casa Caiu "

Boa tarde senhores!

Imagem por Jorge Soares: 

- Recentemente trocando ideia com amigos da Exploit's brasil, Solicitei ao grupo um auxilio quanto a um script basico em php, onde o mesmo gera um arquivo txt com ip da maquina que acessou determinado "ambiente Intranet (pagina web) " porem necessitava de algumas informações a mais em especifico, como IP,OS,Browser,dia,data,hora para ter provas Fisicas e mais elaboradas  de que sabotador realmente alterou dados no server...

#/ Vamos ao problema:
A Empresa X tem um sistema Intranet rodando APPSERV + NO-ip lixo não?tudo bem eu tambem acho ...porem como sistema do cliente é simples e não ha necessidade de um MEGAservidor,enfim rodamos em um xp mesmo, e tudo ficou "redondo" ( dialeto de programadores para dizer que sistema ficou perfeito) :p Como  são poucos funcionarios que a utiilzam este sistema,presupomos algumas pessoas, ...enfim em em rotinas diarias de leitura de log's desse servidor descobrimos   "Sabotagem no Sistema."  Obviamente nao vou entrar em detalhes, mas vou expor como resolvi o problema esperando a ISCA morder! ;)

Nosso sabotador mal conheçe de programação,porem foi bem esperto. Utilizou conta de outro usuario para realizar crime na maquina, porem nao contava com monitoração repentina desse sistema. Quando se edita algum registro no banco de dados fica log's das alterações, porem não sao provas necessarias para indiciar o mesmo, por que ele utilizou conta de outra pessoa... então galera da XPL brasil me ajudou muito nesse help! Vamos aos detalhes???!!

Minha ideia inicial era pegar apenas ip da maquina, porem como os funcionarios trabalham em horarios intercalados facilitou a coisa... 
Script inicial:
$fp = fopen("ip.txt", "a");
fputs ($fp, "{ $REMOTE_ADDR }\n");
fclose($fp);
?>
Info: ele pega endereço de ip do usuario e salva no arquivo ip.txt , o script proposto pela galera foi o seguinte:
$myFile = "dados/".$ip."-".$hora."-". $data .".txt";  // Você tem que criar uma pasta no mesmo diretorio que está o php nome da pasta "dados" sem aspa...
$fh = fopen($myFile, 'a') or die("Erro ao abrir o arquivo.");
$data = date("d/m/y");
$ip = $_SERVER['REMOTE_ADDR'];
$navegador = $_SERVER['HTTP_USER_AGENT'];
$time = mktime(date('H')-3, date('i'), date('s'));
$hora = gmdate("H-i-s", $time);
$stringData = "({$ip}) ($hora)
\n Data: $data +
\n IP: $ip +
\n Navegador $navegador +
\n Horario: $hora + 
\n";
fwrite($fh, $stringData);
fclose($fh);
?>
* Fonte: http://pastebin.com/JQ0RDG7M // Creditos Wender Teixeira, Obrigado meu amigo! ;)

Pelas indicações:
* Daniel Nascimento: Nesse post ( http://www.crimesciberneticos.com/2010/09/hackeando-o-hacker-investigando-e.html ) no blog do Ronaldo Lima. 
* Marcos Pitanga: Com o HORA eu aconselho usar o MAC (modify, Access, Change) via comando stat...
root@pitanga-notebook:~/iso# stat dojo_v1.2-virtualbox.zip
 File: `dojo_v1.2-virtualbox.zip'
Size: 1286500247    Blocks: 2512704    IO Block: 4096   regular file
Device: 802h/2050d    Inode: 1311949     Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2011-11-08 17:38:48.180210571 -0200
Modify: 2011-06-30 10:07:34.000000000 -0300
Change: 2011-11-08 17:38:39.660216832 -0200 Exelente dica!!! 
* Andre da silva e eduarto maes, pela pronta disponibilidade em colaborar, Muito Obrigado.! 

-Atravez das Dicas dos amigos acima temos os seguintes logs gravados no arquivo que precisava.. 
# (xxx.xx.xxx.xx) (18-17-32)
# Data: 10/11/11 +
# IP: xxx.xx.xxx.xx +
# Navegador Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.23) Gecko/20110920 Firefox/3.6.23 ( .NET CLR 3.5.30729) +
# Horario: 18-17-32 +  
"A casa Caiu " .....Game Over.. 
 
Em breve editarei esta postagem adicionando mais informações complementares sobre assunto..  
Forte abraço a todos os companheiros da TI. 
Happy hacking! (; 
sabotagem no Sistema? "A casa Caiu " sabotagem no Sistema? "A casa Caiu " Reviewed by Kembolle Amilkar on quinta-feira, novembro 10, 2011 Rating: 5

Nenhum comentário