Oi pessoal,
se alguem poder me ajudar neste assunto agradeso desde já.
O problema é o seguinte, gostaria de saber como identificar um computador que invadiu outro computador na mesma rede.
Versão Imprimível
Oi pessoal,
se alguem poder me ajudar neste assunto agradeso desde já.
O problema é o seguinte, gostaria de saber como identificar um computador que invadiu outro computador na mesma rede.
boas
acho que devias ser um pocuo mais claro.. mas eu vou deixar a minha dica
suponho que o omputador que tenha sido invadido esteja sobre linux ou outro SO unix like então dê uma olhadela em
/var/log
aí tem tudo o que akonteçeu no sistema
dê uma olhadela em /tmp e /var/tmp
e tabém em /root/.bash_history
procure documentos sobre análise forense, hoje em dia existe bastante inforamção detalhada sobre o tema..
verifique se n foram instalados rootkits na sua maquina (chkrootkit ou rootkitHunter)
e por fim, reinstale o sisetma operativo de novo, e faças as respctivas actualizaçoes para n voltar a akonteçer o mesmo uma boa dica tb é usar um servidor de logs remoto, para n haver fuga de informação :)
um abraço[]
Dependendo do nível do comprometimento da máquina atacada pode esquecer os logs
ok ok.. então vamos ser mais fanáticos
adicione esta linha no seu /etc/syslog.conf
*.* /var/spool/lpd/lp
:P
assim só mesmo rasgando o papel :D
Mais se não fizer auditoria constante nos logs não vai adiantar...Citação:
Postado originalmente por The-shadow