10 Февраль 2003 13:32, Elena Egorova написал:
> Здравствуйте,
> > Как можно обнаружить наличие руткитов или атак? Как определить что
> > заставило зависнуть сервак? Причём пинги на него идут, но когда начинаешь
> > нажимать клавиши на серваке - перестают идти даже пинги. В логах ничего
> > не заметил кроме подобного:
> >
> > Feb  3 06:56:04 host kernel: Packet log: prii DENY eth0 PROTO=17
> > 192.168.191.5:138 192.168.191.255:138 L=229 S=0x00 I=55221 F=0x0000 T=128
> > (#6)
> >
> > Может кто чего предположить? Кста.... на сервак были установлены пакеты
> > snort & nmap за пару дней до этого.
>
> netbios-dgm     138/tcp                         # NETBIOS Datagram Service
> netbios-dgm     138/udp
> Это похоже на широковещательные запросы виндовых машин, если они
> сконфигурированы не на использование wins для разрешения своих виндовых
> имен. Вы же лучше знаете архитектуру вашей сети и должны знать, могут ли у
wins отключены на виндовых машинах (их кста.... не много)
а почему тогда это идёт от eth0, которая глядит наружу и адреса в моей 
локалке 192.168.2.*
и вообще, может это и не имеет никакого значения, просто перед зависами 
несколько раз замечены DENY на адрес 192.168.191.5

> вас бегать такие пакеты. По поводу руткитов - проверить все открытые
> соединения, проверить md5 всех установленных пакетов (особенно тех, которые
> работают как демоны). Проверить права на /tmp.
lrwxrwxrwx    1 root     root            5 Sep 27 18:30 /tmp -> m/tmp
что-то не так?

> В крайнем случае, всегда есть консоль, на которую можно зайти с соседнего
> сервера и посмотреть, в чем проблема (нуль-модемный кабель + getty).
а чем смотреть? на solaris вроде было через hardwire

Ответить