Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 3 su 3
  1. 25-11-2002, 13:39 #1
    Radmond_Barry
    Radmond_Barry non è in linea
    Utente di HTML.it L'avatar di Radmond_Barry
    Registrato dal
    Feb 2002
    Messaggi
    241

    exchange server: problema intrusione

    salve a tutti.

    sono sicuro che da qualche tempo una persona non autorizzata è riuscita ad entrare in possesso di una username e password di un mio utente.

    questa persona ha iniziato a controllare e visionare la posta dell'utente a cui è stata fregata la password. volevo sapere dove posso trovare le tracce di questa intrusione.
    in pratica se esiste un log file in cui vengono segnate tutte le connessioni avvenute da parte di una persona esterna (il cui ip quindi non è tra quelli interni) per poter vedere che cosa ha visto.

    grazie
    Rispondi quotando Rispondi quotando
  2. 25-11-2002, 14:12 #2
    innovatel
    innovatel non è in linea
    Utente di HTML.it L'avatar di innovatel
    Registrato dal
    Dec 2000
    Messaggi
    1,578
    in teoria nel file log esistono le tracce.

    ma una volta introdotti nel sistema altrui esse vengono cancellate in modo da nascondere i dati di accesso. (o almeno, si dovrebbe fare)
    [Blog]
    Rispondi quotando Rispondi quotando
  3. 25-11-2002, 16:23 #3
    Radmond_Barry
    Radmond_Barry non è in linea
    Utente di HTML.it L'avatar di Radmond_Barry
    Registrato dal
    Feb 2002
    Messaggi
    241
    grazie innovatel,

    e scusa se ho postato nel forum errato.

    cmq vorrei precisare una cosa: qui non si tratta di un'intrusione da parte di un hacker o simile: qui si tratta di una persona, un utente comune che è solo capace di configurare il proprio client di posta elettronica per connettersi a un server popmail poichè conosceva l'username e la pass. quindi dubito che abbia anche cancellato le tracce del suo passaggio

    guardando ad esempio nel event viewer (application) sono riuscito a filtrare gli eventi che contraddistingono l'accesso con successo al server mail di exchange: sono contraddistinti dall'id evento 2010, purtroppo però periodicamente elimino la lista e quindi adesso dall'event viewer mi ritrovo uno storico di meno di una settimana. controllando gli accessi al sistema exchange ho verificato che in questo breve lasso di tempo erano tutti autorizzati o quantomeno non riguardavano l'utente interessato.
    so che l'exchange server lascia traccia di ogni suo movimento anche nei log files che si trovano nella cartella ExchSrvr/imcdata/log.

    ma questi log files hanno traccia di tutti i messaggi mandati, anche quelli interni e quelli in uscita. mi ritrovo così con dei file log di centinaia di mega. c'è modo di filtrare o fare una ricerca per trovare tutti gli eventi che copntraddistinguono un accesso da parte di un esterno a una cassetta postale?

    grazie
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.