Re: Monitorizar intrusion en tiempo real...
On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote: Hola a todos... tengo una pregunta que se me habia olvidado: Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por medio de un comando, reconocerlo? o sea, como el comando users que me dice que usuarios hay conectados localmente, algo parecido para saber si alguien esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace, etc... habra forma de hacer algo asi? gracias y saludos a todos. En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas que están ejecutando. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- May the source be with you Ignacio García Fernández [EMAIL PROTECTED] Instituto de Robótica. Universidad de Valencia.Tlf. 96 398 3583 http://shannon.irobot.uv.es/~ignacio/
Re: Monitorizar intrusion en tiempo real...
El 29 de ago de 2002 (jue), Ignacio García Fernández escribió: On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote: Hola a todos... tengo una pregunta que se me habia olvidado: Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por medio de un comando, reconocerlo? o sea, como el comando users que me dice que usuarios hay conectados localmente, algo parecido para saber si alguien esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace, etc... habra forma de hacer algo asi? gracias y saludos a todos. En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas que están ejecutando. Y si puedes, combina 'w' o 'who' con 'watch'. $ watch w Every 2s: w Thu Aug 29 09:36:58 2002 09:36:59 up 8 min, 5 users, load average: 1.08, 0.60, 0.30 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT imo tty1 -09:368.00s 0.39s 0.31s top imo tty2 -09:288:14 1.08s 0.03s -bash Con ello conseguiras que la salida de 'w' o de 'who' vaya refrescándose cada cierto tiempo (tú eliges cuanto). -- (o_.' Imobach González Sosa [EMAIL PROTECTED] //\c{} [EMAIL PROTECTED] osoh en jabber.at y jabber.org V__)_ [EMAIL PROTECTED] Usuario Linux #201634 Debian GNU/Linux `Woody' con núcleo 2.4.19-ac4 sobre Intel Pentium 4 Cuando oigas a un niño preguntar: ¿Por qué el sol viene y se va? Dile: Porque en esta vida no hay luz sin oscuridad -- Mägo de Oz
Re: Monitorizar intrusion en tiempo real...
On Thu, 29 Aug 2002, Ignacio García Fernández wrote: On Wed, Aug 28, 2002 at 05:38:52PM -0300, [DrUiDa] wrote: Hola a todos... tengo una pregunta que se me habia olvidado: Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por medio de un comando, reconocerlo? o sea, como el comando users que me dice que usuarios hay conectados localmente, algo parecido para saber si alguien esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace, etc... habra forma de hacer algo asi? gracias y saludos a todos. En principio con who obtienes eso. Y con 'w' obtienes eso, y los programas que están ejecutando. Imagina que alguien usa una vulnerabilidad de un servicio que le permite arrancar una shell. Sería una shell de root pero no ha pasado por LOGIN. Solo vas a obtener sesiones arrancadas desde login. Tampoco te vale explorar las shell que están funcionando en modo interactivo porque un shell es un programa que no tiene nada de especial respecto a otros programas y el atacante podría estar usando su propio shell totalmente irreconocible. La pregunta es interesante pero a mi me parece que los logs del sistema están para eso y hacer una monitorización que detecte muchas más cosas en tiempo real podría tener el peligro de ataque por denegación de servicio. Un saludo Antonio Castro +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ /\ /\ Ciberdroide Informática (Tienda de Linux) \\W// http://www.ciberdroide.com _|0 0|_ +-oOOO--(___o___)--OOOo+ | . . . . U U . . . . Antonio Castro Snurmacher [EMAIL PROTECTED] | | . . . . . . . . . . | +()()()--()()()+ | *** 1.700 sitios clasificados por temas sobre Linux en ***Donde_Linux*** | | http://www.ciberdroide.com/misc/donde/dondelinux.html | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
Monitorizar intrusion en tiempo real...
Hola a todos... tengo una pregunta que se me habia olvidado: Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por medio de un comando, reconocerlo? o sea, como el comando users que me dice que usuarios hay conectados localmente, algo parecido para saber si alguien esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace, etc... habra forma de hacer algo asi? gracias y saludos a todos.
Re: Monitorizar intrusion en tiempo real...
- Original Message - From: [DrUiDa] [EMAIL PROTECTED] Sent: Wednesday, August 28, 2002 5:38 PM Subject: Monitorizar intrusion en tiempo real... Hola a todos... tengo una pregunta que se me habia olvidado: Si alguien se conecta a mi Debian por medio de una shell, hay forma de, por medio de un comando, reconocerlo? o sea, como el comando users que me dice que usuarios hay conectados localmente, algo parecido para saber si alguien esta en mi maquina de forma remota y sacarlo o vigilarlo para ver que hace, etc... habra forma de hacer algo asi? gracias y saludos a todos. Para accesos x telnet tenes el ttysnoop. Con esto incluso podes meter mano en dicha shell juntamente con el usuario que este logueado. Configurando tb tcpwrapper te enteras en tiempo real en el momento que se conecto x ej, enviandote un email. Ya que esta dejo picando una pregunta: alguien sabe de algo similar al ttysnoop pero para ssh? Saludos Fernando