Logs sammeln

[Vorheriges Kapitel] [Vorherige Seite] [Inhaltsverzeichnis] [Nächste Seite] [Nächstes Kapitel] 

doolin$ (head -3 kun.log; tail -3 kun.log) | fold -w 55
Jul 12 16:46:50 beer ipmon[277]: [ID 702911 auth.alert]
 16:46:50.179228  le0 @0:25 b 131.174.117.202,62315 ->
134.60.66.19,21 PR tcp len 20 48 -S IN
Jul 12 16:46:50 beer ipmon[277]: [ID 702911 auth.alert]
 16:46:50.179228  le0 @0:25 b 131.174.117.202,62315 ->
134.60.66.19,21 PR tcp len 20 48 -S IN
Jul 12 16:46:50 morawetz ipmon[97]: [ID 702911 auth.ale
rt] 16:46:50.215188  le0 @0:25 b 131.174.117.202,62325
-> 134.60.66.29,21 PR tcp len 20 48 -S IN
Jul 12 17:07:05 virgo ipmon[285]: [ID 702911 auth.alert
] 17:07:04.500080 hme0 @0:25 b 131.174.117.202,63262 ->
 134.60.166.133,21 PR tcp len 20 48 -S IN
Jul 12 17:07:05 serpens ipmon[283]: [ID 702911 auth.ale
rt] 17:07:04.496455 hme0 @0:25 b 131.174.117.202,63258
-> 134.60.166.129,21 PR tcp len 20 48 -S IN
Jul 12 17:07:05 serpens ipmon[283]: [ID 702911 auth.ale
rt] 17:07:04.496455 hme0 @0:25 b 131.174.117.202,63258
-> 134.60.166.129,21 PR tcp len 20 48 -S IN
doolin$

*Die Zusammenfassung von Firewall- und Snort-Logs aller Maschinen eines Subnetzes erlaubt es, Scans zu erkennen.
 
*In diesem Beispiel hatten wir einen Scan, der 21 Minuten benötigte, um nach FTP-Servern auf 113 Maschinen in unserem Netzwerk zu suchen.
 
*Alle gefundenen FTP-Server wurden sofort ausprobiert...
 

[Vorheriges Kapitel] [Vorherige Seite] [Inhaltsverzeichnis] [Nächste Seite] [Nächstes Kapitel]
Copyright © 2002 Andreas F. Borchert, in HTML konvertiert am 20.11.2002