Re: stiznost na nezadouci aktivity ...

[Tomas Wolf <tomas zavinac coronadoplace bod com>]

Na to muze (ale nemusi) byt jednoduchy recept. Jiste se podivejte do 
kolekce nastroju, ktere nabizi Ethereal (pro CLI nazvane Tethereal). Pro 
samotne logovani vam jiste bude stacit TCPDump, coz je maly, ale 
vynikajici sniffer. Jiste sniffujte na vnejsim interfacu. TCPDump ma 
moznost vse ukladat a nasledne vse cist v "raw" formatu. Ci pouhym 
presmerovanim standardniho vystupu ">" do nejakeho souboru (a na konci 
radky s "&") se vam budou zapisovat jen textove zpravy vyprodukovane 
TCPDump. Nasledne potom za pomoci "grub" muzete vyfiltrovat potrebne 
informace.

 Pokud budete sniffovat ze interni strany, budete mit lepsi informace o 
tom, z jake vnitrni IP to prichazi (zatimco na vnejsi tuto informaci tak 
snadno neziskate). Avsak pokud je router samotny tim, ktery tyto spojeni 
zacina, potom si jich vubec nevsimnete (neb budou na uplne jinem 
interfacu). Doporucil bych spolupraci s ISP, kdy ISP bude hlidat Vasi 
externi kartu a interni bude hlidana Vami.

 ALE jsou tu ale. Pomalejsi pocitac toto muze dosti poskodit na 
rychlosti. Pokud TCPDump a pozadovane knihovny nejsou nainstalovany, 
vzdy je moznost spatne instalace a shozeni systemu (clovek nikdy nevi). 
Nasledujici je moznost, ze vlastnite hacknuty router a nekdo ho pouziva 
jako zombie.

 TCPDump vyzaduje Libpcap knihovny. Vsechny jsou v .deb baliccich a tak 
je mozne tyto ziskat skrze apt-get. Pokud chcete kompilovat a ziskat 
novejsi verzi, potom http://www.tcpdump.org/ je tu pro Vas.

 Hodne stesti a drzim pesti.

Tomas

Jiří Červenka wrote:
> Dobry den,
> od meho poskytovatele mi prisla stiznost na nezadouci aktivity naseho 
> skolniho routeru(debian woody).
> Jako dukaz poslali tenhle vypis:
> Feb  6 23:40:09 xxxxxx sshd[27185]: Failed password for illegal user
>  > > thomas from na.se.ip.adr port 44042 ssh2
>  > > Feb  6 23:40:13 xxxxxx sshd[27187]: Failed password for illegal user
>  > > office from na.se.ip.adr port 44487 ssh2
>  > > Feb  6 23:40:17 xxxxxx sshd[27189]: Failed password for illegal user
>  > > info from na.se.ip.adr port 44847 ssh2
>  > > Feb  6 23:40:22 xxxxxx sshd[27191]: Failed password for illegal user
>  > > reichard from na.se.ip.adr port 45128 ssh2
> atd...
> Chtel bych se proto zeptat, kam bych se mel podivat, abych zjistil 
> jestli pokusy o pripojeni odesly opravdu z naseho stroje. Problem je, ze 
> za timhle strojem je schovana cela skolni sit (200 pocitacu). Dal bych 
> se chtel zeptat jestli je nekde mozne najit jaky pocitac z me vnitrni 
> site se pokusil pripojit pres ssh na nejaky jiny pocitac v internetu.
> Dekuji za odpoved.
>
>
> ------------------------------------------------------------------------
>
> ________________________________________________
> CZdebian-l maillist  -  CZdebian-l zavinac debian bod cz
> http://www.debian.cz/mailman/listinfo/czdebian-l
> E-mail (un)subscriptions: czdebian-l-request zavinac debian bod cz