+ Responder ao Tópico



  1. #1
    Novato_So
    Visitante

    Padrão Firewall

    Oi pessoal,

    se alguem poder me ajudar neste assunto agradeso desde já.

    O problema é o seguinte, gostaria de saber como identificar um computador que invadiu outro computador na mesma rede.

  2. #2

    Padrão Firewall

    boas
    acho que devias ser um pocuo mais claro.. mas eu vou deixar a minha dica

    suponho que o omputador que tenha sido invadido esteja sobre linux ou outro SO unix like então dê uma olhadela em
    /var/log
    aí tem tudo o que akonteçeu no sistema
    dê uma olhadela em /tmp e /var/tmp
    e tabém em /root/.bash_history

    procure documentos sobre análise forense, hoje em dia existe bastante inforamção detalhada sobre o tema..

    verifique se n foram instalados rootkits na sua maquina (chkrootkit ou rootkitHunter)

    e por fim, reinstale o sisetma operativo de novo, e faças as respctivas actualizaçoes para n voltar a akonteçer o mesmo uma boa dica tb é usar um servidor de logs remoto, para n haver fuga de informação

    um abraço[]



  3. #3
    gmlinux
    Visitante

    Padrão Firewall

    Dependendo do nível do comprometimento da máquina atacada pode esquecer os logs

  4. #4

    Padrão Firewall

    ok ok.. então vamos ser mais fanáticos
    adicione esta linha no seu /etc/syslog.conf

    *.* /var/spool/lpd/lp

    :P

    assim só mesmo rasgando o papel



  5. #5
    gmlinux
    Visitante

    Padrão Firewall

    Citação Postado originalmente por The-shadow
    ok ok.. então vamos ser mais fanáticos
    adicione esta linha no seu /etc/syslog.conf

    *.* /var/spool/lpd/lp

    :P

    assim só mesmo rasgando o papel
    Mais se não fizer auditoria constante nos logs não vai adiantar...

  6. #6

    Padrão Firewall

    pra vc detectar se uma pessoa invadio seu pc, primeiro, vc so pode da permissão de logar como um unico usuário, segundo, verificar diariamente os log e assim mesmo fazendo escrip que copie para outro diretorio com outro nome os log de seguranga, esse scrip deve ta no crontab e deve se rodado a cada 3h, tem mais umas 100 dicas de segurança, quer aprender a se defender e contra-atakar? lei umas 3 vezes o livro o livro, universidade harck, eu comprei e recomendo a todos..

    configure o snort + guardian

    obs: não use o livro para fazer o "mau" eehheeh

    t+



  7. #7
    andkaiser
    Visitante

    Padrão Firewall

    Se foi direto da sua rede, só pode ter sido porque alguns serviços estão levantados como o SSH, RLogin...
    Os logs de conecções ficam gravados em: /var/log/secure, e de login em /var/log/message
    Lá vc identifica o IP de quem conectou na máquina.