Re: intrusione
Marco Fabris wrote:
>
> > > mi sapreste indicare alcune operazioni
> > > per poter individuare eventuali intrusioni
> > > sul mio server Debian?
Ci sono diversi pacchetti, potresti iniziare con tiger e chkrootkit
poi una verifica con netstat e fuser in locale e con nmap, nessus e
raccess da remoto per vedere se ci sono porte aperte strane.
Come consigliato l'uso di tripwire o aide o integrit potrebbero
aiutare a riconoscere eventuali modifiche future. Questi ovviamente
sono solo suggerimenti per nulla esaustivi e comunque da me non
provati ma il frutto di qualche ricerca con apt-cache search. Per
esempio un pacchetto che potrebbe servirti e':
Package: tct
Priority: optional
Section: admin
Installed-Size: 636
Maintainer: Yotam Rubin <yotam@makif.omer.k12.il>
Architecture: i386
Version: 1.07-8
Depends: libc6 (>= 2.2.4-4), file, libdate-manip-perl, timeout
Recommends: lsof
Filename: pool/main/t/tct/tct_1.07-8_i386.deb
Size: 141408
MD5sum: fa0921c6b4b6373eeddf7eb3e32720f2
Description: Forensics related utilities.
The Coroner's Toolkit (TCT) is a collection of programs by Dan Farmer
and
Wietse Venema for a post-mortem analysis of a UNIX system after a
break-in.
TCT enables you to collect date regarding deleted files, modification
times
of files and more.
Tools contained within this package: grave-robber, lazarus, icat, ils,
unrm
and pcat.
Se quello che cercavi è invece della documentazione:
http://www.cert.org/
ad esempio: http://www.cert.org/security-improvement/modules/m09.html
altri URL utili:
http://www.cerias.purdue.edu/coast/ids/
http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm
http://www-rnks.informatik.tu-cottbus.de/~sobirey/ids.html
ecc.
Ciao Guido.
--
|Guido Bozzetto|Office ph./fax:+39 0432 499311/45366|
| \/ I |E-mail: :-) mailto:Nauta@G-B.it| Un sàc vuèit
| OO like |Web: http://www.e-company.it/gb/| nol stâ in pîns
+ -- Linux +-- GTN SpA http://www.gtngroup.it --+
Reply to: