Chciał bym założyć post w którym zebrali byśmy wiedzę na temat wykrywania włamań na serwer, tzn. jak sprawdzać czy włamanie nastąpiło czy nie, które logi przeglądać i na co zwracać uwagę.
Zaniepokoił mnie wczoraj pewien fakt. Po zalogowaniu sie na serwer i wydaniu komendy last ujrzałem tylko logowanie z bieżącego miesiąca. Wydaje mi się że powinno wyświetlić wszystkie logowania.
Wykrywanie w
do logowania lepiej uzywac syslog-ngZobacz co masz w /var/logjoker pisze:Jak odtworzyć zarchiwizowane info o logowaniach ?
Przeczytaj mam last
Kod: Zaznacz cały
last -f /var/log/wtmp.1
np tak:ShinnRa pisze:a ja mam takie pytanie: jak spreparować wpis do iptables by logował pakiety ?
Kod: Zaznacz cały
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "firewall: Stealth scan: "przykleję się z pytaniem:
Jak czytać logi? Na co zwracać uwagę? i na które z logów?
Chodzi mi o to, że wszędzie znajduje opisy jak konfigurować zapisywanie do logów, automatyczne sprawdzania itp. ale nie umiem znaleźć żadnego mana, który mówiłby co w tych logach tak naprawdę zapisywać, ani tym bardziej jak to czytać, jak to zrozumieć.
Może źle szukam, cóż - dopiero raczkuje w sieci, naprowadźcie mnie proszę.
Jak czytać logi? Na co zwracać uwagę? i na które z logów?
Chodzi mi o to, że wszędzie znajduje opisy jak konfigurować zapisywanie do logów, automatyczne sprawdzania itp. ale nie umiem znaleźć żadnego mana, który mówiłby co w tych logach tak naprawdę zapisywać, ani tym bardziej jak to czytać, jak to zrozumieć.
Może źle szukam, cóż - dopiero raczkuje w sieci, naprowadźcie mnie proszę.