Oi pessoal,
se alguem poder me ajudar neste assunto agradeso desde já.
O problema é o seguinte, gostaria de saber como identificar um computador que invadiu outro computador na mesma rede.
Oi pessoal,
se alguem poder me ajudar neste assunto agradeso desde já.
O problema é o seguinte, gostaria de saber como identificar um computador que invadiu outro computador na mesma rede.
boas
acho que devias ser um pocuo mais claro.. mas eu vou deixar a minha dica
suponho que o omputador que tenha sido invadido esteja sobre linux ou outro SO unix like então dê uma olhadela em
/var/log
aí tem tudo o que akonteçeu no sistema
dê uma olhadela em /tmp e /var/tmp
e tabém em /root/.bash_history
procure documentos sobre análise forense, hoje em dia existe bastante inforamção detalhada sobre o tema..
verifique se n foram instalados rootkits na sua maquina (chkrootkit ou rootkitHunter)
e por fim, reinstale o sisetma operativo de novo, e faças as respctivas actualizaçoes para n voltar a akonteçer o mesmo uma boa dica tb é usar um servidor de logs remoto, para n haver fuga de informação
um abraço[]
Dependendo do nível do comprometimento da máquina atacada pode esquecer os logs
ok ok.. então vamos ser mais fanáticos
adicione esta linha no seu /etc/syslog.conf
*.* /var/spool/lpd/lp
:P
assim só mesmo rasgando o papel
Mais se não fizer auditoria constante nos logs não vai adiantar...Postado originalmente por The-shadow
pra vc detectar se uma pessoa invadio seu pc, primeiro, vc so pode da permissão de logar como um unico usuário, segundo, verificar diariamente os log e assim mesmo fazendo escrip que copie para outro diretorio com outro nome os log de seguranga, esse scrip deve ta no crontab e deve se rodado a cada 3h, tem mais umas 100 dicas de segurança, quer aprender a se defender e contra-atakar? lei umas 3 vezes o livro o livro, universidade harck, eu comprei e recomendo a todos..
configure o snort + guardian
obs: não use o livro para fazer o "mau" eehheeh
t+
Se foi direto da sua rede, só pode ter sido porque alguns serviços estão levantados como o SSH, RLogin...
Os logs de conecções ficam gravados em: /var/log/secure, e de login em /var/log/message
Lá vc identifica o IP de quem conectou na máquina.