[Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

... σχετικά με το Linux.
Άβαταρ μέλους
billytziv
Newbie
Newbie
Δημοσιεύσεις: 23
Εγγραφή: 20 Ιουν 2012, 18:38
Distro: Linux Mint & Backtrack
Τοποθεσία: Greece
Επικοινωνία:

[Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

Δημοσίευση από billytziv » 27 Ιουν 2012, 17:59

Όπως γνωρίζουμε τα Log files είναι αρχεία που καταγράφουν δραστηριότητες στο σύστημά μας. Στο υποτιθέμενο σενάριο που κάποιος προσπαθεί να συνδεθεί σε έναν server ας πούμε χρησιμοποιώντας sql injection προφανώς πρέπει να ξέρει να σβήνει και τα ίχνη μετά. Οπότε σύμφωνα με το παραπάνω σενάριο,

1. Υπάρχουν διάφορα (πλήθος/τοποθεσία) Log files ανάλογα με το σύστημα(λειτουργικό) και την ασφάλεια που έχει στηθεί (~firewall) ή είναι ένα δυο στάνταρ ή ίσως συνδυασμός των 2 προηγούμενων προτάσεων?
2. Εκτός απο τα Log files είναι κάτι άλλο που καταγράφει πληροφορίες για την εισερχόμενη σύνδεση?

όπως και να χει θα μου πείτε είναι λίγο βλακεία να κάνει κάποιος έτσι επίθεση...χρησιμοποιώντας την πραγματική του IP αλλα στην παρούσα φάση υποθέτω ότι ναι ο εισβολέας δεν είναι και τόσο έξυπνος.

τι λέτε? :)
...be calm and gather as much information as you can before attacking ;)

Άβαταρ μέλους
Fuzz
Sr. Member
Sr. Member
Δημοσιεύσεις: 364
Εγγραφή: 22 Νοέμ 2005, 12:09
Distro: Debian
Τοποθεσία: Nowhere
Επικοινωνία:

Re: [Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

Δημοσίευση από Fuzz » 01 Ιούλ 2012, 20:25

Ο 'εισβολέας' θα πρέπει να έχει κάνει σωστή προετοιμασία και να γνωρίζει από πριν τι σύστημα είναι αυτό στο οποίο μπαίνει και την τοπολογία του δικτύου του στόχου, και ο διαχειριστής από την άλλη να έχει διασφαλίσει την ύπαρξη ενός ασφαλούς και αξιόπιστου συστήματος καταγραφής.
Δεν υπάρχει γενικός κανόνας για το που μπορεί να μείνουνε ίχνη και αυτό εξαρτάτε από το τον τύπο του συστήματος, το πως είναι ρυθμισμένο και από την τοπολογία του δικτύου.
Πχ μπορεί να έχουμε ένα σύστημα που έχει SE Linux ή AppArmor, πού έχει κάποιο IDS, όλα αυτά έχουν δικά τους log files και καταγράφουν τις ενέργειες που γίνονται σε ένα σύστημα. Μπορεί το logging να μην γίνετε τοπικά αλλά σε κάποιον log server, μπορεί το firewall να μην τρέχει τοπικά οπότε και τα logs του θα είναι αλλού. Ακόμα και το log της πρόσβασης στον web server εκτός από τοπικά στην περίπτωση ύπαρξης κάποιου reverse proxy στο δίκτυο να βρίσκετε και αλλού. Οι περιπτώσεις είναι πάρα πολλές και δεν υπάρχει συγκεκριμένη απάντηση σε μια τόσο γενική ερώτηση.
Boo!

Άβαταρ μέλους
billytziv
Newbie
Newbie
Δημοσιεύσεις: 23
Εγγραφή: 20 Ιουν 2012, 18:38
Distro: Linux Mint & Backtrack
Τοποθεσία: Greece
Επικοινωνία:

Re: [Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

Δημοσίευση από billytziv » 03 Ιούλ 2012, 21:33

Μάλλον η απάντηση είναι "Δεν είναι τόσο απλό...". Με κάλυψες πάντως thx
...be calm and gather as much information as you can before attacking ;)

Απάντηση

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 3 επισκέπτες