• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Удаление документов пользователем

  • Автор темы Tanik
  • Дата начала
T

Tanik

Добрый день!

Произошел в нашей организации прямо вопиющий случай.
Один из пользователей заявляет, что администратор почты удалил все письма во входящих.
Причем, действительно, в его базе во входящих только два письма 6 месячной давности.
И так как этот пользователь из высокого начальства, мы это так оставить не можем...
Придется как-то доказывать, что это он сам удалил все письма.
А как это сделать? где есть такие логи? где бы было четко написано, что такой-то удалил письма во столько-то?

Доступ к базе есть только у этого самого пользователя и у администратора почты.
Пользователь имеет только одно рабочее место.
кнопка "Показать непрочтенные" не нажата

Lotus 703

Помогите пожалуйста, на самом деле положение отчаянное... уже директор к процессу подключился...
 
M

morpheus

1. Проверить свойства базы - количество документов
2. Проверить нет ли локальных реплик
 
V

vitfil

И так как этот пользователь из высокого начальства, мы это так оставить не можем...
Придется как-то доказывать, что это он сам удалил все письма.
Вам именно это надо доказать или разобраться, каким образом письма были удалены в действительности? Если первое, то логи можно и сфабриковать. Если второе, то стоит смотреть журнал транзакций. Хотя, я не знаю, есть ли оный в лотусе.
 
T

Tanik

1. Количество документов сходится
2. насчет реплики сейчас посмотрим, но я не могу представить, как это может повлиять?
неужели, если я создам локальную реплику своей базы, письма будут валиться туда?
это нереально - в адресной книге в персон прописано где должна быть база.
а я как раз смотрю его базу на сервере, там писем тоже нет...

Добавлено:
Вам именно это надо доказать или разобраться, каким образом письма были удалены в действительности? Если первое, то логи можно и сфабриковать. Если второе, то стоит смотреть журнал транзакций. Хотя, я не знаю, есть ли оный в лотусе.


Для нас первое не отделимо от второго... я же знаю, что ничего не удаляла у него.
Если такие логи существуют, я просто на 1000% уверена, что там прописано, что именно юзер удалил письма
 
H

hosm

В свойствах БД Activity - User Detail, если включено, логирует чтение и запись.
+ посмотреть историю репликации.
 
T

Tanik

БД Activity - User Detail,

А там две колонки Чтение и Запись.
Я так понимаю, что Запись - это создание письма, входящие письма, удаление писем
А в колонке Чтение?
просто там напротив юзера есть чтение - 163
как-то нереально, что он прочитал эти письма
 
A

azat20

Удаление писем - это не запись. Надо ОДС 51 поставить, тогда появится колонка с количеством удаленных документов. Да, посмотрите историю репликаций. И глупый вопрос, нет ли нужных писем в представлении Все документы?
 
H

hosm

Reads: Number of times users opened documents and number of times servers read documents.
Кстати, а наличие стабов проверить? там дата-время удаления должна быть вроде...
 
M

~Mikle

Прямого протоколирования удалений нет. Самое разумное - посмотрите стабы тулзой типа ytria.
Ещё смотрите логи сервера usage-by database кто лазил в базу

ps Естественно, если админ захочет грохнуть документы в базе, он сделает так что никто никаких следов не найдёт
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!