Arquivos de logs [RESOLVIDO]

1. Arquivos de logs [RESOLVIDO]

pentest
pentestbox

(usa Ubuntu)

Enviado em 28/08/2017 - 11:31h

Ola pessoal, gostaria de saber quais os principais arquivos de logs que devem ser analisados em sistemas linux, que armazenem informações sobre uma invasão ao sistema? algum tipo de registro contendo o IP de origem de máquinas que realizaram Port Scan ao sistema, ou que conseguiram remoto ao sistema, enfim, quais seriam os principais arquivos de logs que vão conter essas informações?



  


2. Re: Arquivos de logs [RESOLVIDO]

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 28/08/2017 - 11:31h

tudo fica no /var/log
lá fica os arquivos de logs mais importantes


3. Re: Arquivos de logs [RESOLVIDO]

pentest
pentestbox

(usa Ubuntu)

Enviado em 28/08/2017 - 11:36h

danniel-lara escreveu:

tudo fica no /var/log
lá fica os arquivos de logs mais importantes


Sim, eu sei, mais são muitos arquivos dentro desse diretório, não da pra analisar todos ao mesmo tempo, quais dos arquivos seriam os mais importantes que contém registros de IP de origem de um ataque por exemplo, ou de um Port Scan, ou acesso remoto?


4. Re: Arquivos de logs [RESOLVIDO]

Fabiano
fpires

(usa Debian)

Enviado em 28/08/2017 - 12:16h

Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


5. Re: Arquivos de logs [RESOLVIDO]

pentest
pentestbox

(usa Ubuntu)

Enviado em 28/08/2017 - 12:34h

fpires escreveu:

Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


Ok, digamos que o firewall não registra logs, sei que no /var/logs existe arquivos com syslog, message, etc... mais quais desses arquivos possuiriam os registros de IP, ex: no caso de um host realizar um scan de portas via Nmap, qual seria o arquivo de log a registrar essa atividade?


6. Re: Arquivos de logs [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 28/08/2017 - 16:04h

pentestbox escreveu:

fpires escreveu:

Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


Ok, digamos que o firewall não registra logs, sei que no /var/logs existe arquivos com syslog, message, etc... mais quais desses arquivos possuiriam os registros de IP, ex: no caso de um host realizar um scan de portas via Nmap, qual seria o arquivo de log a registrar essa atividade?


quem registra esse tipo de informação ("registros de IP", "scan de portas") nos logs do sistema é o Firewall!

se não tem Firewall (seja ele um aplicativo ou a sua implementação diretamente em iptables), logo, não tem essas informações nos logs do sistema.

quando se tem um Firewall, geralmente, seus logs são gravados no arquivo
/var/log/syslog

por outro lado, quando as mensagens não estão no arquivo mencionado, geralmente, é porque o Firewall as salvam em um arquivo de log por ele criado especificamente para guardar os seus logs.





7. Re: Arquivos de logs [RESOLVIDO]

pentest
pentestbox

(usa Ubuntu)

Enviado em 29/08/2017 - 11:11h

raserafim escreveu:

pentestbox escreveu:

fpires escreveu:

Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


Ok, digamos que o firewall não registra logs, sei que no /var/logs existe arquivos com syslog, message, etc... mais quais desses arquivos possuiriam os registros de IP, ex: no caso de um host realizar um scan de portas via Nmap, qual seria o arquivo de log a registrar essa atividade?


quem registra esse tipo de informação ("registros de IP", "scan de portas") nos logs do sistema é o Firewall!

se não tem Firewall (seja ele um aplicativo ou a sua implementação diretamente em iptables), logo, não tem essas informações nos logs do sistema.

quando se tem um Firewall, geralmente, seus logs são gravados no arquivo
/var/log/syslog

por outro lado, quando as mensagens não estão no arquivo mencionado, geralmente, é porque o Firewall as salvam em um arquivo de log por ele criado especificamente para guardar os seus logs.




Como poderia então criar logs utilizando o Iptables? e qual o arquivo de log que ele salva os registros?


8. Re: Arquivos de logs [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 30/08/2017 - 09:16h

pentestbox escreveu:

Como poderia então criar logs utilizando o Iptables? e qual o arquivo de log que ele salva os registros?
no iptables, basicamente, criando regras com o parâmetro "LOG --log-prefix".

por exemplo:
 iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Tracerout [Alert]: "
iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j DROP

iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Whois [Alert]: "
iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j DROP

iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Telnet [Alert]: "
iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j DROP

por padrão os LOG's são salvos em:
/var/log/syslog


no entanto, por ser um assunto vasto e com muitas particularidades a depender do cenário de necessidades de cada um, sugiro que você dê uma pesquisada sobre iptables em geral.

aqui no VOL tem muito material.


9. Re: Arquivos de logs [RESOLVIDO]

pentest
pentestbox

(usa Ubuntu)

Enviado em 30/08/2017 - 15:07h

raserafim escreveu:

pentestbox escreveu:

Como poderia então criar logs utilizando o Iptables? e qual o arquivo de log que ele salva os registros?
no iptables, basicamente, criando regras com o parâmetro "LOG --log-prefix".

por exemplo:
 iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Tracerout [Alert]: "
iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j DROP

iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Whois [Alert]: "
iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j DROP

iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Telnet [Alert]: "
iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j DROP

por padrão os LOG's são salvos em:
/var/log/syslog


no entanto, por ser um assunto vasto e com muitas particularidades a depender do cenário de necessidades de cada um, sugiro que você dê uma pesquisada sobre iptables em geral.

aqui no VOL tem muito material.


Eu entendo um pouco de iptables, so não conhecia essa função de logs, muito interessante, seria legal se desse pra salvar os logs em um arquivo diferente do syslog, pois ai ficaria mais organizado no sistema.



10. Re: Arquivos de logs [RESOLVIDO]

Fabiano
fpires

(usa Debian)

Enviado em 30/08/2017 - 15:18h

O iptables trabalha com syslog. Basta configurar seu servidor syslog (muito provevelmente o rssylog) para enviar os logs do iptables para um arquivo distinto.


11. Re: Arquivos de logs [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 15/09/2017 - 15:30h

no arquivo /etc/syslog.conf você pode acrescentar a seguinte linha para redirecionar os logs do iptables:
#Redireciona os logs do iptables
kern.warn -/var/log/iptables.log
no lugar de "iptables.log" pode ser utilizado qualquer nome de arquivo.

obs: logo quando fiz essa configuração na minha máquina tudo funcionou corretamente! porém, depois de um tempo deixou de funcionar... e não pesquisei por qual motivo..