Date: Mon, 10 Sep 2001 18:48:41 +0100 From: Alex Holst <none@a--area51.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Hacked :-(
Quoting Ib-Michael Martinsen (imm@nethotel.dk):
> Er der nogle der har ideer til eller kan fortælle, hvordan jeg
> kan forsøge at spore, hvor indtrængeren er kommet ind i mit system?
Jeg oversaa disse to linier.
Ved du circa hvornaar det er sket? Gaa igennem alle dine logfiler for den
periode. Brug last(1) til at se hvornaar vedkommende har vaeret logget ind.
Der findes masser af vaerktoejer til at rense baade utmp og syslog filer saa
medmindre du har logfiler paa en anden maskine kan du ikke stole 100% paa
dem.
Hvis du vil retsforfoelge vedkommende skal du samle beviser paa en maade saa
du kan bevise i retten at hvad du paastaar der skete, rent faktisk skete.
Hvis du er begyndt at lede efter spor paa den originale disk er det nok for
sent.
I tillaeg til telnetd, har der vaeret huller i ftpd og ntpd for nyligt.
-- I prefer the dark of the night, after midnight and before four-thirty, when it's more bare, more hollow. http://a.area51.dk/
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:15 CET