Ciao a tutti,
qualcuno sa indicarmi qualche buon sito dove poter leggere qualcosa a riguardo delle tecniche utilizzate per poter risalire a chi ha tentato un intrusione illegale su un server win 2000?
Giusto oggi è accaduto qualcosa di simile... non credo ci sia riuscito, ma ho una mezza idea riguardo a chi potrebbe essere stato. Se solo riuscissi a trovare uno straccio di indirizzo Ip collegato a certe operazioni...
se qualcuno può essere d'aiuto...
Grazie mille!
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
Se è europeo http://www.ripe.net/db/whois/whois.html se non è europeo ti dice il sito dove cercare
- La chiesa è vicina, il bar è lontano, la strada è ghiacciata. Camminerò con attenzione
(Vecchio proverbio russo)
poi risalire all'ip del "furbacchione" solo se hai impostato l'audit hai servizi
ad esempio su iis poi impostare di registrare tutte le operazioni che sono effettuate sel server web in un log (quotidiano oppure sett,mens)
e sempre da iis imposti cosa registrare (dataora,ip,pagineviste,etc,etc)
se hai impostato queste opzioni potrai trovare i log
nella cartella
%systemdir%\system32\logsfile
qui vengono depositati tutti i log di default se hai cambiato la cartella devi ricordartela
ma l'ip del tizio non c'è l'ha :gren:Dwarf Se è europeo http://www.ripe.net/db/whois/whois.html se non è europeo ti dice il sito dove cercare
Grazie Dwarf, però mi sono spiegato male
Quello che mi interessa sapere è cosa e dove leggere per risalire all'ip di chi ha tentato (o è riuscito) a violare il sistema.
Per ora l'Ip non l'ho trovato, perchè non so dove cercare e come cercarlo...
Dopo, quando lo avrò ottenuto... eh eh... allora vado sull'whois.
E direi che faccio un salto anche in Polizia Postale, con tutti i dati.
Grazie, comunque! Spero che possiate aiutarmi per il passo precedente
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
Pardon
- La chiesa è vicina, il bar è lontano, la strada è ghiacciata. Camminerò con attenzione
(Vecchio proverbio russo)
hai letto il mio post nuvolari??
Si, grazie Heroes3. Ho guardato. Ci sono, ma non ho trovato connessioni che mi diano l'indicazione che cercavo.
Ora ti spiego nel dettaglio:
Oggi arrivo e vedo un virus di tipo Trojan neutralizzato da Norton alle 6 e 50 di questa mattina.
Quindi cercavo connessioni risalenti a oggi e a quell'ora.
Purtroppo nei file log di IIS l'unica che c'è è dell 1 e 24 del mattino di oggi.
Il server in questione contiene solo un sito online da meno di 4 o 5 giorni, appoggiato ad un semplice Ip. Senza poter entrare troppo nei dettagli dico solo che entrare in questo computer... potrebbe far comodo solo ad 1 sola persona... (e molto scomodo a me!) ecco perchè sento puzza di bruciato.
Ci sono altri file dove posso controllare?
Ho installato win2000 server, Norton antivirus e SQL 7.0
(pure nei file di SQL 7.0 non c'è nulla relativo a quell'ora)
Grazie!
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
ps: visto che alle 6 e 50 di questa mattina qualcuno ha tentato di caricare un Trojan sul server... mi chiedevo se da qualche parte sul server stesso non venisse registrato l'Ip di chi ha caricato quel determinato file o almeno si è connesso a quell'ora esatta... Magari non è passato per IIS... non so non sono molto esperto in queste cose quindi vado un po' a casaccio. Quel che mi servirebbe sapere è proprio come fare a risalire all'Ip di chi si è connesso in qualsiasi modo al server a quell'ora o meglio ancora all'Ip che ha smollato il Trojan sul mio server.
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
adesso non riesci più a risalire dovevi impostarlo prima
devi impostare i criteri di protezione locali
che trovi nella cartella "pannello di controllo\strumenti di amministrazione" e li imposti le policy di fare l'audit di tutto quello che viene effettuato da remoto
IIS era un esempio
in modo da impostare 3 policy semplici semplici
1 blocca tutto verso tutto
2 consenti solo la porta 80 e 21 (che sono per il web e l'ftp)
3 consenti accesso da locale verso internet
eventualemente altre porte per SQL solo se lo vuoi aministrare da remoto
così risolvi tutti i tuoi problemi
tra l'altro hala funzionalita di spedire un msg di posta con ip dell'attaccante data e ora e porta attaccata ad un email da te specificata e non costa neppure molto mi sembra di ricordare 200-250€
Permessi di invio
Rispondi quotando