Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Victor Wagner                        2:5020/400     28 Sep 2003  20:13:00
 To : Andrew Korovin
 Subject : Re: Security
 -------------------------------------------------------------------------------- 
 
 Andrew Korovin <Andrew.Korovin@p20.f12000.n5020.z2.fidonet.org> wrote:
 
  VW>> Вот это как раз уже просто.
  VW>> man grep, man sed, man awk, man perl
 AK> Hу-ну.. Он у меня в страшном виде... там ни grep, sed, awk ни перл не
 AK> поможет.
 
 А ты не пугайся. У меня он вот в таком виде:
 
 Sep 20 01:01:20 wagner PAM_unix[11521]: authentication failure; (uid=0)
 
 -> amalia for pop3 service
 
 Sep 21 12:41:09 wagner PAM_unix[7214]: authentication failure; (uid=0)
 
 -> tol for ssh service
 
 Sep 24 19:19:22 wagner PAM_unix[7925]: authentication failure; (uid=0)
 
 -> vitus for xdm service
 
 Sep 24 19:19:27 wagner PAM_unix[7925]: authentication failure; (uid=0)
 
 -> vitus for xdm service
 
 Sep 25 20:35:55 wagner PAM_unix[1047]: authentication failure;
 vitus(uid=0) -> vitus for sudo service
 
 Чего тут бояться? 
 
 1. Выделяем все строки, содержащие authentication failure (впрочем я это
 уже сделал). Hапример - grep-ом. Выкидываем собственно эти слова, а
 также PAM_unix и номер процесса. Остается дата, имя машины, из кого (в 
 большинстве  случаев, кроме sudo из кого будет uid=0, так что тоже можно
 выкинуть) в кого и для какого сервиса.
 
 Если ты исследуешь какой-то конкретный канал проникновения в систему,
 можешь еще и по имени сервиса отбросить лишнее.
 
 Hа perl это будет выглядеть так
 
 if (/(\w{3} +\d{1,2} +[\d:]+) +(w+) \S+: +autentication failure; \S+
 
 -> (\S+) for (\S+) service/)  {
 
    $date = $1;
    $host = $2;
    $user = $3;
    $service= $4;
  }
 
 Дальше берем и выводим в том формате, в каком нам удобно.
 
 -- 
 И мессии тоже с нетерпением ждут своего пришествия.
        --- С.Е. Лец
 --- ifmail v.2.15dev5
  * Origin: Free Net of Leninsky,45 (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Security   Andrew Korovin   27 Sep 2003 13:19:00 
 Re: Security   Victor Wagner   27 Sep 2003 19:01:40 
 Security   Andrew Korovin   27 Sep 2003 23:53:04 
 Re: Security   Victor Wagner   28 Sep 2003 18:26:41 
 Security   Andrew Korovin   28 Sep 2003 19:12:00 
 Re: Security   Victor Wagner   28 Sep 2003 20:13:00 
 Security   Andrew Korovin   28 Sep 2003 21:03:44 
 Re: Security   Max Krasilnikov   28 Sep 2003 22:02:23 
 Security   Andrew Korovin   29 Sep 2003 22:51:16 
 Re: Security   Victor Wagner   28 Sep 2003 23:35:23 
 Security   Andrew Korovin   29 Sep 2003 22:51:52 
 Security   ilya voronin   06 Oct 2003 01:04:04 
 Re: Security   Victor Wagner   06 Oct 2003 18:28:18 
Архивное /ru.linux/151786de8b150.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional