Com isso, j� podemos ter uma base de como reagir ... At 14:06 21/03/02 -0300, you wrote: >>- Carvalho >> >>> Logs, logs e mais logs. >>> E um tcpdump esperto. >> >>At� tem como, mas geralmente eles usam Spoof (o qual mascara o IP real) > > > Mas para eles efetivamente usarem a m�quina, precisam de uma conex�o. > Logo, o "controle" deles n�o pode ser feita via spoof, para eles > receberem o retorno dos comandos. > J�, se eles forem "high-profile", a t�tica mais usada � usar pacotes > spoofeados, > mas com IPs n�o registrados, roteados e NATeados por roteadores > sequestrados. > Mesmo nesse caso, voc� pega qual o roteador, investiga qual o dono > dele, informa, > verifica, e depois bane o tal roteador da sua tabela de rotas
Isso � super importante ... para pegar o IP dele ao receber um novo chamado � simples ... como havia mensionado ... manda um DENY (IPChains ou IPTable) com + LOG ( -l ), na porta que o "trojan" abre ... com isso, ao enviar uma requisi��o POW !!!! Ai come�a tudo novamente ... descobrir se o IP � verdadeiro, se � do real "mandante" ou se ... ele foi mandado por outro m�quina/router tamb�m hackeado ... e assim por diante ! >>> netstat -anvpt >> >>Outra coisa que pode ser usada � o nmap >> >>nmap 127.0.0.1 >>nmap IP_interno >>nmap IP_externo � podemos definir assim ... use os dois ! :-) use o nmap � para saber o normal de portas abertas ... j� o netstat e o tcpdump, vc ter� resultados em tempo real ... Conex�o estranhas, podem ser vistas com o sniffit (vers�o bem resumida de sniffer). Meu, vc ter� in�meras coisas que vc pode fazer ... Outra coisa legal � usar o PortSentry ... um "sentinela" que "emula" portas abertas ... Ao receber uma requisi��o nesta porta emulada, ele executa um comando ... comando geralmente � de um DENY -l ... > Sim, o nmap � muito bom, mas com o netstat (se ele n�o tiver sido > alterado por um rootkit) voc� >v� o nome do processo com a porta aberta, coisa que nem sempre o nmap >consegue identificar. > > Falows! Agora quem foi fui eu ... hehehe Atenciosamente, Eduardo Mota.�. _________________________________________________________ WebSite: http://www.emota.com.br E-Mail: [EMAIL PROTECTED] - UIN: 2731255 FAX/VoiceMail: (11) 3059-0250 - Ramal: 6756 Assinantes em 22/03/2002: 2248 Mensagens recebidas desde 07/01/1999: 159178 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
