Quando uma máquina é invadida, a primeira coisa que o invasor vai
querer fazer é não deixar vestígios de que esteve lá e não permitir
que ninguém perceba a sua presença.
Para isso, ele irá modificar os logs do sistema para remover qualquer
evidência de sua invasão. Para melhorar a confiabilidade dos arquivos
de log aconselha-se o uso de um servidor que apenas coleta os logs
das máquinas da rede. Desta maneira, mesmo que o invasor viole seu
sistema primário (servidor de web por exemplo), ainda vai ter um
outro conjunto de logs que não foram alterados.
Nada impede que ele
também viole o servidor de logs, mas isto irá dificultar a vida dele. :)
[1] Comentário enviado por
fabio em 20/05/2004 - 05:45h:
Bom, para usuários das mais variadas disitruições, aí vai a dica. Procurem pelo script que inicializa o serviço syslogd, no Debian é:
# vim /etc/init.d/sysklogd
Lá vocês vão mudar a linha:
SYSLOGD=""
para
SYSLOGD="-r"
Depois:
# /etc/init.d/sysklogd restart
e zé fini! :)
[2] Comentário enviado por
naoexistemais em 20/05/2004 - 06:04h:
Faltou uma observação
Inclua a informação de quem e o logserver dentro do /etc/hosts caso você opte por utilizar esta sintaxe
# echo -e '192.168.0.10 logserver' >> /etc/hosts
Até,
[3] Comentário enviado por
bogdano em 21/05/2004 - 10:16h:
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.
[4] Comentário enviado por
y2h4ck em 21/05/2004 - 11:11h:
Usando o LIDS bastaria adicionar uma regra
para tornar os logs como APPEND ..
assim o invasor mesmo estando como root nao iria conseguir
apagar nada.
[5] Comentário enviado por
bogdano em 21/05/2004 - 11:36h:
Eu sei que o FreeBSD tem uma flag a, para apenas adicionar conteúdo em um arquivo. O Linux possui algo parecido com isso, no kernel?
Mudando a cara do Lilo
Versão para impressora
Indicar para um amigo
Enviar artigo