none
A "what to do" discussion for auditing malicous dba: Manipulation of .ldf files RRS feed

  • Pregunta

  • Greetings people!

    I made a question about editing .ldf files a little time ago, the question was answered properly but I didn't realize that I and for sure many people can have thoughts (questions and solutions) on some sql server behaviour. This time for .ldf files.
     

    I was asked for discretion, but in short. There's a dba that manipulated the database and most likely covered his tracks. "We" assume a malicious dba did some trickery on a database, "we" agreed in checking the .ldf files assuming the worse, that those were edited by some ilegal software. but actually... .ldf files are gone. 

    So what are your thoughts on any means of manipulation of transaction logs by a malicious dba?

    I was thinking about log detachment, log fragmentation (I think you cant remove the primary log but you can fragment the log and delete the ones unused), log hiding (just to make the job harder for us they could just work with the .ldf in a really hidden folder and pretend they dont know what happened), editing with ilegal software, etc.

    Please dont think that I'm trying to make you guys do "our" heavy lifting, it's just a discussion talk so we can share our knowledge on this subject.

    Thanks and have a nice day!


    • Editado Khamul777 martes, 14 de marzo de 2017 21:41 Topic lacked a deeper explanation
    • Tipo cambiado Joyce_ACModerator miércoles, 15 de marzo de 2017 17:24
    martes, 14 de marzo de 2017 21:38

Respuestas

  • Hola Khamul777,

    Gracias por consultar los foros. Te comento que has publicado tu pregunta en los foros en español de SQL Server. En caso de que requieras asistencia en inglés te sugiero abras la pregunta en el foro correspondiente  en el enlace de abajo.

    MSDN Fórums

    Saludos

    Joyce

    __________________________________________________________________________________________
    Por favor, recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, hace que sea más fácil para los otros visitantes encontrar la solución  más tarde. Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft. Este contenido es proporcionado "tal  cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 15 de marzo de 2017 17:24
    Moderador

Todas las respuestas

  • This is a Spanish forum to start off,

    Anwyays without context we can't really help you out and lots of things u mention are bad practice in general and it implies that dba had system access to the server and probably the storage itself.




    • Editado Enrique AA jueves, 16 de marzo de 2017 22:42
    martes, 14 de marzo de 2017 22:55
  • Hola Khamul777,

    Gracias por consultar los foros. Te comento que has publicado tu pregunta en los foros en español de SQL Server. En caso de que requieras asistencia en inglés te sugiero abras la pregunta en el foro correspondiente  en el enlace de abajo.

    MSDN Fórums

    Saludos

    Joyce

    __________________________________________________________________________________________
    Por favor, recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, hace que sea más fácil para los otros visitantes encontrar la solución  más tarde. Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft. Este contenido es proporcionado "tal  cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 15 de marzo de 2017 17:24
    Moderador
  • Para manipular los ficheros de log, hay que desadjuntarlos, no creo que ningún dba por malicioso que sea pueda toquetear a mano los ficheros ldf sin parar la base de datos.

    Desadjuntando y adjuntando de nuevo puedes recrear los logs si se ha desadjuntado adecuadamente.

    En cualquier caso no veo cual es tu duda. Si teneis a alguien en quien habéis perdido la confianza... lo mejor es que seguir adelante con otras personas.


    Comparte lo que sepas, aprende lo que no sepas (FGG)
    portalSQL
    El rincón del DBA

    jueves, 16 de marzo de 2017 9:21
    Moderador