forsøk på å få root-tilgang

[kyrsjo]

Nå føler jeg meg veeeldig dum: Hvor er denne loggen det er snakk om?

[olear]

/var/log/messages

[pgdx]

Eventuelt /var/log/auth.log

[petterg]

Noen som har en fornuftig måte å logge portscanning på? Det kan sikkert gjøres med iptables. Scriptet omtalt tidligere i dag kan håntere alt som logges i syslog. Hadde vært fint å sette alle som portscanner også i tarpit.

[petterg]

En titt i loggen... virker ikke som TARPIT følger opp til omtalen... endra til DROP nå, venter et par angrep for se om det blir noen forskjell.

Ville det vært mer fornuftig å bruke REJECT? Andre alternativer?

[kyrsjo]

Drop gir stealth (hum di dum, ingen i denne endren..), mens reject gir "closed" (ja, jeg er her men *DU* får ikke lov)

[Manuel]

Drop gir stealth (hum di dum, ingen i denne endren..), mens reject gir "closed" (ja, jeg er her men *DU* får ikke lov)

Jeg vet ikke helt hva petterg ønsker å bruke "target" TARPIT, men i motsetning til REJECT og DROP, sørger TARPIT for at forbindelsen ikke kan brytes før det blir timeout (og da vil det gå til helvete når et program skal portscanne 2^16 porter).

[petterg]

Drop gir stealth (hum di dum, ingen i denne endren..), mens reject gir "closed" (ja, jeg er her men *DU* får ikke lov)

Jeg vet ikke helt hva petterg ønsker å bruke "target" TARPIT, men i motsetning til REJECT og DROP, sørger TARPIT for at forbindelsen ikke kan brytes før det blir timeout (og da vil det gå til helvete når et program skal portscanne 2^16 porter).

Det er teorien, ja, men jeg ser i loggen at ip'r som blir plasert i tarpit kommer med nye oppkoblinger hvert 4. sekund... det er jo akkurat som før! Hadde håpet å få ned frekvensen på disse ved å bruke tarpit.

(Jeg har satt på logging av alle forbindelser som går til tarpit.)