PDA

Visualizza la versione completa : server ftp attaccato?


Outermarker
13-06-2006, 09:30
ragazzi ho appena visto una cosa nei log che mi ha decisamente allarmato!
Allora, ho un semplice server ftp su una FC3 che uso per lavoro. Ho semplicemente abilitato proftpd e configurato alla meglio il file config. Il server resta su per mesi senza che io faccia interventi, tanto che ho tolto tastiera e monitor e lo controllo da un altro pc in rete. Ogni tanto guardo i log e mi accorgo di parecchi furboni che fanno port scan e trovano la porta 21, ma oggi controllo i log e....semplicemente spariti! :dh:
/var/log/messages vuoto, e anche /var/log/secure!. Comincio a trovare dati solo in secure.4, cio fino allo scorso 25 maggio! che successo? qualcuno ha accesso al mio sistema e mi cancella i log? come faccio ad accertare la cosa, e soprattutto a risolvere il problema?

griphon
13-06-2006, 22:24
Per verificare se effettivamente la colpa di intrusioni esterne, prova Snort:

www.snort.org

Personalmente non l'ho mai usato, ma so che l'ideale per questo tipo di problema.

Loading