Re: Monitorizar intrusion en tiempo real...
On Thu, 29 Aug 2002, Ignacio García Fernández wrote:
> On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote:
> > Hola a todos... tengo una pregunta que se me habia olvidado:
> > Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por
> > medio de un comando, reconocerlo? o sea, como el comando users que me dice
> > que usuarios hay conectados localmente, algo parecido para saber si alguien
> > esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace,
> > etc... habra forma de hacer algo asi? gracias y saludos a todos.
>
> En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas
> que están ejecutando.
Imagina que alguien usa una vulnerabilidad de un servicio que le permite
arrancar una shell. Sería una shell de root pero no ha pasado por LOGIN.
Solo vas a obtener sesiones arrancadas desde login.
Tampoco te vale explorar las shell que están funcionando en modo
interactivo porque un shell es un programa que no tiene nada de especial
respecto a otros programas y el atacante podría estar usando su propio
shell totalmente irreconocible.
La pregunta es interesante pero a mi me parece que los logs del sistema
están para eso y hacer una monitorización que detecte muchas más cosas
en tiempo real podría tener el peligro de ataque por denegación de servicio.
Un saludo
Antonio Castro
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
/\ /\ Ciberdroide Informática (Tienda de Linux)
\\W// <<< http://www.ciberdroide.com >>>
_|0 0|_
+-oOOO--(___o___)--OOOo----------------------------------------------------+
| . . . . U U . . . . Antonio Castro Snurmacher acastro@ciberdroide.com |
| . . . . . . . . . . |
+()()()----------()()()----------------------------------------------------+
| *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** |
| <<< http://www.ciberdroide.com/misc/donde/dondelinux.html >>> |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
Reply to: