Fórumok
Sziasztok!
A melóhelyemen összeraktam még régen egy openSuSE 10.0 szervert. A munkahelynek 2 internetkapcsolata van. Az internetszolgáltatónk külödtt egy levelet, melyben közölték, hogy az egyik internetkapcsolatunkat korlátozták, mivel többszöri, jogosulatlan belépési kísérlet történt más internetszolgáltatók gépeibe. Kiderült, hogy azt a kapcsolatot korlátozták, amelyen az én szerverem is van. Mely log fájlokba tudok ennek utánanézni? a crontab-ba elhelyezett, percenként lefutó MYIP frissítő-szkript nem számíthat ilyesfajta tevékenységnek a szolgáltató szerint?
Hozzászólások
/var/log/* a te barátod első körben.
ps -ef | less a következőben
netstat -anp | less harmadjára
Végig kell nézni most mi fut a gépen, programok, hálózati forgalom stb.
Logokban is lehet egy két utalás de nem feltétlen.
Ha fut web szerver a gépen akkor azok logjait is érdemes átnézni.
Mostanság előszeretettel piszkálják az ingyenes cms/blog/forum rendszereket és azok sebezhetőségeit kihasználva csinálnak jó dolgokat.
Egy szép példa az akciókra:
http://pastebin.ca/1770555
A végeredmény a /tmp/.ICE/ könyvtárba született meg és az sshd programot akarta volna futtatni.
Nem jött össze neki.
De ez természetesen csak egy példa. Sok más hasonló is lehet.
A rendellenességeket kell keresni. Pl sshd program fut www-data user nevében.
Jó mulatást!