[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Dicembre 2008 ml@sikurezza.org Soggetto: Re: [ml] Audit di traffico tcp e udp Mittente: Michele Orsenigo Data: Thu, 4 Dec 2008 22:08:27 +0100 (CET)
On Thursday 04 December 2008 09:55:21 you wrote: > Michele Orsenigo wrote: > > Su una postazione desktop, con Debian sid e kernel custom 2.6.26, qualche > > programma, ogni tanto, mi apre connessioni tcp e/o udp non usuali, come > > rivelato dai log del firewall che presiede l'accesso internet. > > > > Ora, tramite iptables, riesco tranquillamente a tracciare il traffico, > > compreso uid e gid con il quale gira il processo, ma dato che l'utente è > > sempre il medesimo (escluso root che però fa girare solo i demoni di > > sistema), non riesco a risalire al programma. > > > > C'è qualcosa, di non eccessivamente pesante per tracciare anche il pid ? > > O devo proprio lanciare ogni singolo programma con un'utenza tutta sua ? > "lsof -i" sulla macchina? > Ciao ciao, > Gippa purtroppo mi accorgo solo a posteriori (dal log di iptables) che è stata utilizzata una porta non usuale. Quindi mi è inutile lanciare lsof perchè la connessione a quel punto è già stata chiusa. Bisognerebbe farlo richiamare da una regola di iptables o forse da un evento nel momento della sua scrittura nel log ..... Ci penso su, ma se qualcuno ha un'idea migliore è ben accetta. Grazie -- Michele Orsenigo gira08@xxxxxxxx ----------------
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005