Re: Monitorizar intrusion en tiempo real...

[Ignacio García Fernández]

On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote:
 Hola a todos... tengo una pregunta que se me habia olvidado:
 Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por
 medio de un comando, reconocerlo? o sea, como el comando users que me dice
 que usuarios hay conectados localmente, algo parecido para saber si alguien
 esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace,
 etc... habra forma de hacer algo asi? gracias y saludos a todos.

En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas
que están ejecutando.

 
 
 
 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
 

-- 
May the source be with you

Ignacio García Fernández  [EMAIL PROTECTED]
Instituto de Robótica.
Universidad de Valencia.Tlf. 96 398 3583

http://shannon.irobot.uv.es/~ignacio/  

Re: Monitorizar intrusion en tiempo real...

[Imobach González Sosa]

El 29 de ago de 2002 (jue), Ignacio García Fernández escribió:
 On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote:
  Hola a todos... tengo una pregunta que se me habia olvidado:
  Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por
  medio de un comando, reconocerlo? o sea, como el comando users que me dice
  que usuarios hay conectados localmente, algo parecido para saber si alguien
  esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace,
  etc... habra forma de hacer algo asi? gracias y saludos a todos.
 
 En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas
 que están ejecutando.

Y si puedes, combina 'w' o 'who' con 'watch'.

$ watch w

Every 2s: w   Thu Aug 29 09:36:58 2002

 09:36:59 up 8 min,  5 users,  load average: 1.08, 0.60, 0.30
USER TTY  FROM  LOGIN@   IDLE   JCPU   PCPU  WHAT
imo  tty1 -09:368.00s  0.39s  0.31s  top  
imo  tty2 -09:288:14   1.08s  0.03s  -bash

Con ello conseguiras que la salida de 'w' o de 'who' vaya refrescándose
cada cierto tiempo (tú eliges cuanto).

-- 
(o_.'   Imobach González Sosa   [EMAIL PROTECTED]
//\c{}  [EMAIL PROTECTED]   osoh en jabber.at y jabber.org
V__)_   [EMAIL PROTECTED]   Usuario Linux #201634
Debian GNU/Linux `Woody' con núcleo 2.4.19-ac4 sobre Intel Pentium 4

Cuando oigas a un niño preguntar: ¿Por qué el sol viene y se va?
Dile: Porque en esta vida no hay luz sin oscuridad
-- Mägo de Oz

Re: Monitorizar intrusion en tiempo real...

[Antonio Castro]

On Thu, 29 Aug 2002, Ignacio García Fernández wrote:

 On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote:
  Hola a todos... tengo una pregunta que se me habia olvidado:
  Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por
  medio de un comando, reconocerlo? o sea, como el comando users que me dice
  que usuarios hay conectados localmente, algo parecido para saber si alguien
  esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace,
  etc... habra forma de hacer algo asi? gracias y saludos a todos.
 
 En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas
 que están ejecutando.

Imagina que alguien usa una vulnerabilidad de un servicio que le permite 
arrancar una shell. Sería una shell de root pero no ha pasado por LOGIN.

Solo vas a obtener sesiones arrancadas desde login.

Tampoco te vale explorar las shell que están funcionando en modo
interactivo porque un shell es un programa que no tiene nada de especial
respecto a otros programas y el atacante podría estar usando su propio
shell totalmente irreconocible.

La pregunta es interesante pero a mi me parece que los logs del sistema
están para eso y hacer una monitorización que detecte muchas más cosas
en tiempo real podría tener el peligro de ataque por denegación de servicio.



Un saludo

Antonio Castro

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
/\ /\  Ciberdroide Informática (Tienda de Linux)
  \\W// http://www.ciberdroide.com 
 _|0 0|_
+-oOOO--(___o___)--OOOo+ 
|  . . . . U U . . . . Antonio Castro Snurmacher  [EMAIL PROTECTED]  |  
|  . . . . . . . . . . | 
+()()()--()()()+
| *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** |
|  http://www.ciberdroide.com/misc/donde/dondelinux.html |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

Monitorizar intrusion en tiempo real...

[\[DrUiDa\]]

Hola a todos... tengo una pregunta que se me habia olvidado:
Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por
medio de un comando, reconocerlo? o sea, como el comando users que me dice
que usuarios hay conectados localmente, algo parecido para saber si alguien
esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace,
etc... habra forma de hacer algo asi? gracias y saludos a todos.

Re: Monitorizar intrusion en tiempo real...

[Fernando R]

- Original Message -
From: [DrUiDa] [EMAIL PROTECTED]
Sent: Wednesday, August 28, 2002 5:38 PM
Subject: Monitorizar intrusion en tiempo real...
 Hola a todos... tengo una pregunta que se me habia olvidado:
 Si alguien se conecta a mi Debian por medio de una shell, hay forma de,
por
 medio de un comando, reconocerlo? o sea, como el comando users que me dice
 que usuarios hay conectados localmente, algo parecido para saber si
alguien
 esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que
hace,
 etc... habra forma de hacer algo asi? gracias y saludos a todos.


Para accesos x telnet tenes el ttysnoop.
Con esto incluso podes meter mano en dicha shell juntamente
con el usuario que este logueado.
Configurando tb tcpwrapper te enteras en tiempo real en el
momento que se conecto x ej, enviandote un email.

Ya que esta dejo picando una pregunta: alguien sabe de algo
similar al ttysnoop pero para ssh?

Saludos
Fernando