[Lugge] R: Log di Linux

  • From: "Gianluka ThEbLaCkAnGeL" <theblackangel@xxxxxxxx>
  • To: <lugge@xxxxxxxxxxxxx>
  • Date: Sun, 19 Oct 2003 23:04:41 +0200

>Come posso fare per capire, analizzando i log di un server linux se mi
trovo di fronte ad una intrusione.
Dovresti precisare che log stai analizzando. Sono i log di apache, di un
firewall, di un ftp server ?
>
Fra gli attriubuti TTL, PROTO, LEN, ... quali sono i più significativi,
quali sono i valori normanli per essi, quali i valori anomali, come sono i
log che indicano una intrusione.
>
Desumo che si tratti di log di un firewall.
Beh dovresti studiare come è fatto un pacchetto ip, cmq tra i 3 citati direi
sicuramente il proto che ti specifica se è un pacchetto tcp, udp o icmp.
Semmai posta una riga tipo del log che vuoi analizzare, ripulita dei dati
sensibili, in pratica mascherando gli ip, così sei maggiormente sicuro e
vedo di essere più preciso e dettagliato nella risposta.
Ciauz
gianlu|{a

---
Outgoing mail is certified Virus Free.AVG Antivirus@Leonardo  
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.528 / Virus Database: 324 - Release Date: 16/10/2003
 



--
Email.it, the professional e-mail, gratis per te: http://www.email.it/f

Sponsor:
Partecipa anche tu al progetto ShopMon: la Rete che fa bene
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=1953&d=19-10
========----------

 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/index.php?link=manifesto

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

 Modifica dell'account sulla lista LUGGe
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list


Other related posts: