Toggle sidebar
  • Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Domanda Posizione log dopo un intrusione

crusiter

crusiter

Nuovo utente
Autore del topic
8 Febbraio 2012
22
41
Miglior risposta
0
Ciao a tutti ,
A SOLO SCOPO DIDATTICO - INFORMATIVO

vorrei porvi una domanda , che forse per voi sarà di facile risposta .
Nell ' ipotetica intrusione ad un server sapete bene che restano o meglio
resterebbero appunto tracce nei log . se questi , almeno così sarebbe " vivamente consigliato "
non venissero cancellati uscendo .
Ora per cortesia vi domando , dove si allocano ? in quale cartella o percorso relativamente
al S.O. presente?
Grazie e scusate se ho scritto sfondoni
 
Riferimento: " Percorso TRACCE "

Dipende dal sistema operativo, dal tipo di intrusione, da cosa fai, dai sistemi di sicurezza che ci sono, ecc ecc.
Tutte cose che devi programmare prima.

Sposto in Assistenza tecnica e rinomino con un titolo più adeguato.
 
Riferimento: Posizione log dopo un intrusione

Grazie Walter 4991 , scusa l'errore .
In via di massima non c'è mai per esempio una cartella , dove sicuramente a prescindere da tutto ci sono tracce ?

Grazie di nuovo
 
Riferimento: Posizione log dopo un intrusione

No, credo proprio non ci sia. Altrimenti sarebbe troppo facile nascondersi.
 
Riferimento: Posizione log dopo un intrusione

Grazie Walter4991

Ho trovato un vecchio appunto ( NON MIO ) che sempre a titolo didattico mi fà piacere postarvi .
è riferito ad Unix se qualcuno avesse qualcosa di simile per Windows lo leggerei volentieri


Per riuscire a risalire all'autore di un attacco , gli amministratori di sistema hanno a disposizione diversi strumenti che permettono di tracciare
i comandi impartiti alla macchina .

crontab:
questo è la principale fonte di logging.Stringhe come Isof,log,promisc, secure,tripwire etw.db contenute nel file di crontab di root o in quello
generale di sistema, possono rappresentare un tentativo di tracciamento. Anche il comando cmp può essere utilizzato per confrontare file particolarmente
importanti che potrebbero essere stati compromessi.

wtmp:
questo file registra tutti i tentativi di accesso al sistema. Se siamo riusciti a penetrare , sicuramente c'è anche un campo per noi .


/var/log e var/adm :
queste directory contengono i file di log più comuni su sistemi Unix. A seconda del nostro attacco , è opportuno rovistare qui per cercare qualche file
compromettente.


syslog.conf:
questo è il file di configurazione di syslog. E 'opportuno dare un'occhiata anche qui per scoprire altri file di log inconsueti.


Il metoodo migliore per cancellare le proprie tracce è quello di preparare uno script che sfruttando principalmente i comandi grep e cat,
ripulisca i file dal contenuto indesiderato.
Pre-requisiti indispensabili sono avere i permessi di lettura e scrittura a tali file e la conoscenza di quali file andare a ritoccare, per poter lasciare velocemente il sistema in caso di emergenza.
 
Riferimento: Posizione log dopo un intrusione

Grazie Walter4991 , buon ferragosto
 
Devi accedere o registrarti per rispondere qui.
 
 
Top
Indietro