[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2003 ml@sikurezza.org Soggetto: ...E ADESSO CHE SONO ENTRATI?! Mittente: Daniel Marzini Data: 29 Apr 2003 11:23:01 -0000
so' che gia' in passato ne abbiamo fatto qualche accenno, ma rileggendole, come ad esempio quella che rimanda a documenti CERT, non ho trovato risposte esaustive. a parte documenti CERT(almeno quelli che ho letto), che piu' che consigli tecnici, forniscono una sorta di elenco di buone e cattive cose da fare e non fare... una volta che scopro che un host della mia rete e' stato compromesso ed averlo isolato(sempre se possibile) dal resto(ponendo che sia tutto a posto)... come faccio a capire nei minimi dettagli fin dove l'host e' stato toccato/modificato? le poche(ahime') cose che mi vengono in mente sono: i log ps lsof netstat nmap(forse) md5 a parte tutto quello che mi manca nella lista prima... un po' di tempo fa mi cimentavo nella lettura di libri e articoli sugli lkm, che poi ho abbandonato a causa del tempo, e mi verrebbe in mente di dare un' occhiata un po' piu' appronfondita' del lsmod; ma come capire se necessario? e cosa fare? come molti di voi, penso, non sto chiedendo una soluzione ad un singolo problema, ma un aiuto a trovare molta documentazione in modo da ampliare la conoscenza. grazie, Daniel ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005