+ Responder ao Tópico



  1. 01-11-2004, 15:06 #1
    Novato_So
    Visitante

    Padrão Firewall

    Oi pessoal,

    se alguem poder me ajudar neste assunto agradeso desde já.

    O problema é o seguinte, gostaria de saber como identificar um computador que invadiu outro computador na mesma rede.
    Citação Citação
  2. 01-11-2004, 16:07 #2
    The-shadow
    The-shadow está desconectado
    Avatar de The-shadow
    Ingresso
    Apr 2004
    Posts
    545

    Padrão Firewall

    boas
    acho que devias ser um pocuo mais claro.. mas eu vou deixar a minha dica

    suponho que o omputador que tenha sido invadido esteja sobre linux ou outro SO unix like então dê uma olhadela em
    /var/log
    aí tem tudo o que akonteçeu no sistema
    dê uma olhadela em /tmp e /var/tmp
    e tabém em /root/.bash_history

    procure documentos sobre análise forense, hoje em dia existe bastante inforamção detalhada sobre o tema..

    verifique se n foram instalados rootkits na sua maquina (chkrootkit ou rootkitHunter)

    e por fim, reinstale o sisetma operativo de novo, e faças as respctivas actualizaçoes para n voltar a akonteçer o mesmo uma boa dica tb é usar um servidor de logs remoto, para n haver fuga de informação

    um abraço[]
    Citação Citação
  3. 02-11-2004, 07:55 #3
    gmlinux
    Visitante

    Padrão Firewall

    Dependendo do nível do comprometimento da máquina atacada pode esquecer os logs
    Citação Citação
  4. 02-11-2004, 10:25 #4
    The-shadow
    The-shadow está desconectado
    Avatar de The-shadow
    Ingresso
    Apr 2004
    Posts
    545

    Padrão Firewall

    ok ok.. então vamos ser mais fanáticos
    adicione esta linha no seu /etc/syslog.conf

    *.* /var/spool/lpd/lp

    :P

    assim só mesmo rasgando o papel
    Citação Citação
  5. 02-11-2004, 12:28 #5
    gmlinux
    Visitante

    Padrão Firewall

    Citação Postado originalmente por The-shadow
    ok ok.. então vamos ser mais fanáticos
    adicione esta linha no seu /etc/syslog.conf

    *.* /var/spool/lpd/lp

    :P

    assim só mesmo rasgando o papel
    Mais se não fizer auditoria constante nos logs não vai adiantar...
    Citação Citação
  6. 02-11-2004, 15:03 #6
    Brenno
    Brenno está desconectado
    Avatar de Brenno
    Ingresso
    Sep 2004
    Posts
    833

    Padrão Firewall

    pra vc detectar se uma pessoa invadio seu pc, primeiro, vc so pode da permissão de logar como um unico usuário, segundo, verificar diariamente os log e assim mesmo fazendo escrip que copie para outro diretorio com outro nome os log de seguranga, esse scrip deve ta no crontab e deve se rodado a cada 3h, tem mais umas 100 dicas de segurança, quer aprender a se defender e contra-atakar? lei umas 3 vezes o livro o livro, universidade harck, eu comprei e recomendo a todos..

    configure o snort + guardian

    obs: não use o livro para fazer o "mau" eehheeh

    t+
    Citação Citação
  7. 02-11-2004, 19:04 #7
    andkaiser
    Visitante

    Padrão Firewall

    Se foi direto da sua rede, só pode ter sido porque alguns serviços estão levantados como o SSH, RLogin...
    Os logs de conecções ficam gravados em: /var/log/secure, e de login em /var/log/message
    Lá vc identifica o IP de quem conectou na máquina.
    Citação Citação



« Tópico Anterior | Próximo Tópico »