Re: Bash to syslog e tracciamento attività di un aggressore

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2002 ml@sikurezza.org
Soggetto: Re: Bash to syslog e tracciamento attività di un aggressore
Mittente: N0bodY88
Data: 17 Dec 2002 12:32:13 -0000

> La soluzione di snoopy mi sembra fra le migliori, io ho provato a installara
> su due macchine ma non ottengo niente.
> O meglio la installo ma non mi riporta niente, se faccio un "ls -la " o
> 
> un "vi pipo non lo vedo sul messages, devo usare qualche accortezza
> particolare?
> 
> Alessandro
> 

Mhmm innanzitutto apriti il tuo snoopy.h tra i sorgenti che hai e guarda il
DEFINE ROOT_ONLY come e' settato xke' se e' settato a 1 e' attivata la
modalita' di logging SOLO x i comandi del root. 
----- snip -----
/* ROOT_ONLY
 * log only the actions running under uid 0, set 1 to enable
 */
#define ROOT_ONLY 0
----- snip -----

Dopodiche' verifica di aver installato lo snoopy correttamente ovvero (da
manuale) di averlo "segnalato" al sistema tramite /etc/ld.so.preload .

-------------------snip---------------------------
U S A G E

  Snoopy is  able to log all  users or just root,  this functionality is
  configured at compile through the snoopy.h header, #define ROOT_ONLY 1
  will restrict logging to root activities. Installation is as follows: 

     make
     make install

  Snoopy is placed in /etc/ld.so.preload to trap all occurances of exec,
  if you wish to monitor only certain applications you can do so through
  the $LD_PRELOAD environment variable - simply set it to /lib/snoopy.so
  before loading the application. For example:

     export LD_PRELOAD=/lib/snoopy.so
     lynx http://linux.com/
     unset LD_PRELOAD 
-------------------snip---------------------------

Se vuoi continuare a parlare di snoopy se vuoi scrivimi alla mia mail (la trovi
su www.spippolatori.com) che magari stiamo andando un po' in ot su sikurezza.


Buon grep a tutti.
-=N0bodY88=-
Spippolatori Group

______________________________________________________________________
Yahoo! Cartoline: invia i tuoi auguri di Natale agli amici
http://it.yahoo.com/mail_it/foot/?http://it.greetings.yahoo.com

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Bash to syslog e tracciamento attività di un aggressore, NetExpress

Data:
- precedente: Re: [despammed] WinMe e screen saver con password, DElyMyth
- successivo: Re: sicurezza di un rete LAN di una PMI...SELFMADE!, gvieri
- indice

Argomento:
- precedente: Re: Bash to syslog e tracciamento =?x-unknown?q?attivit=E0?= di unaggressore, Gianni79
- successivo: Re: Bash to syslog e tracciamento attività di un aggressore, NetExpress
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005