Re: Bash to syslog e tracciamento attività di un aggressore

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2002 ml@sikurezza.org
Soggetto: Re: Bash to syslog e tracciamento attività di un aggressore
Mittente: NetExpress
Data: 19 Dec 2002 12:45:09 -0000

Snoopy secondo me si dimostra un ottimo software per tracciare le 
attività di un utente, l'ho provato e secondo me è fantastico
Devo provare a vedere se traccia l'utilizzo di un bufferoverflow, in 
teoria dovrebbe visto che i comandi che eseguo sfruttando un bo
vengono eseguiti con una scell di root... vedremo

Qualcosa di simile a snoopy per  Solaris, aix e Windowz?

NetExpress


N0bodY88 wrote:

>>La soluzione di snoopy mi sembra fra le migliori, io ho provato a installara
>>su due macchine ma non ottengo niente.
>>O meglio la installo ma non mi riporta niente, se faccio un "ls -la " o
>>
>>un "vi pipo non lo vedo sul messages, devo usare qualche accortezza
>>particolare?
>>
>>Alessandro
>>
>>    
>>
>
>Mhmm innanzitutto apriti il tuo snoopy.h tra i sorgenti che hai e guarda il
>DEFINE ROOT_ONLY come e' settato xke' se e' settato a 1 e' attivata la
>modalita' di logging SOLO x i comandi del root. 
>----- snip -----
>/* ROOT_ONLY
> * log only the actions running under uid 0, set 1 to enable
> */
>#define ROOT_ONLY 0
>----- snip -----
>
>Dopodiche' verifica di aver installato lo snoopy correttamente ovvero (da
>manuale) di averlo "segnalato" al sistema tramite /etc/ld.so.preload .
>
>-------------------snip---------------------------
>U S A G E
>
>  Snoopy is  able to log all  users or just root,  this functionality is
>  configured at compile through the snoopy.h header, #define ROOT_ONLY 1
>  will restrict logging to root activities. Installation is as follows: 
>
>     make
>     make install
>
>  Snoopy is placed in /etc/ld.so.preload to trap all occurances of exec,
>  if you wish to monitor only certain applications you can do so through
>  the $LD_PRELOAD environment variable - simply set it to /lib/snoopy.so
>  before loading the application. For example:
>
>     export LD_PRELOAD=/lib/snoopy.so
>     lynx http://linux.com/
>     unset LD_PRELOAD 
>-------------------snip---------------------------
>
>Se vuoi continuare a parlare di snoopy se vuoi scrivimi alla mia mail (la trovi
>su www.spippolatori.com) che magari stiamo andando un po' in ot su sikurezza.
>
>
>Buon grep a tutti.
>-=N0bodY88=-
>Spippolatori Group
>
>______________________________________________________________________
>Yahoo! Cartoline: invia i tuoi auguri di Natale agli amici
>http://it.yahoo.com/mail_it/foot/?http://it.greetings.yahoo.com
>
>________________________________________________________
>http://www.sikurezza.org - Italian Security Mailing List
>
>
>  
>



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Bash to syslog e tracciamento attività di un aggressore, KJK::Hyperion

In risposta a:
- Re: Bash to syslog e tracciamento attività di un aggressore, N0bodY88

Data:
- precedente: Re: Come cambiare la password in automatico in Win/NT, Max
- successivo: Re: Interrogativi su LDAP, Kerberos e X.509, Simo Sorce
- indice

Argomento:
- precedente: Re: Bash to syslog e tracciamento attività di un aggressore, N0bodY88
- successivo: Re: Bash to syslog e tracciamento attività di un aggressore, KJK::Hyperion
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005