| Thread Previous • Date Previous • Date Next • Thread Next |
Jeppe Koefoed wrote:
Tak for diverse input. For lige at berolige alle de bekymrede. Maskinen er isoleret bag en firewall, kan kun tilgås på port 25 & 80 og har kun udgående adgang på port 25 - og her kun til CyberCity's mailserver. Så den får noget svært ved at deltage i et angreb på andre.So? Siden crackeren kunne komme ind på maskinen, vælger jeg at betvivle sikkerheden i firewall'en..> Det er ingen spor efter at der har være forsøg på at etablere trafik > på port 6667 eller andre ikke tilladte porte.Som andre har sagt er det ikke om hvor mange kendte spor er fundet, men hvor mange [man ikke forestillede sig] ikke er fundet.Man kunne jo starte en kopi i en VMware og så køre snort på hosten. Så vil man kunne finde ud af om der foregår mere. Evt. benytte en Honeypot som selv aktiverer rette iptables kommanoer. Men jeg tror at man skal have rimeligt meget interesse for at det kan betale sig. Ellers er det vist som de fleste skriver: geninstaller.
Hvis det er vigtigt at finde alle spor, hvilket kan være tilfældet fx hvis en incident gentages, laver man en dd til en anden disk eller skifter simpelthen disken, reinstallerer systemet, og kan derefter i ro og mag dissekrere på et lukket system.
-- Kind regards, Mogens V.
| Thread Previous • Date Previous • Date Next • Thread Next |
