Milläs ne niitä tietokoneita kaappeilee?

Akseli Kartaani · 3.12.2007 klo 22.28

mungiisi kirjoitti:
Jamac kirjoitti:Console niminen ohjelma /Application/Utilities kansiossa ja sitten valitset palomuurin lokin. Tosin se näyttää vaan palomuurin tapahtumat, normaalitilanteessa vaikka palomuuri ei olisikaan päällä, niin lokissa olevista "yhteydenotoista" ei ole harmia koska mikään palvelu ei ole oletuksena niitä kutsuhuutoja vastaanottamassa.
Millä nimellä palomuurin loki on tuolla? Secure.log?

ipfw.log

MacFinn · Viesti Kirjoittaja **MacFinn** » 3.12.2007 klo 22.30

at kirjoitti:Yleisesti kohdekoneita lähestytään kahdella eri tavalla.
1) Tutkitaan koneiden verkkoon tarjoamia palveluita. Esimerkiksi tarjoaako jokin kone vaikka ssh serveri palvelua. Jos sellainen on tarjolla, pyritään käyttämään jotain tunnettua tai tuntematonta heikkoutta jonka kautta päästään asentamaan koneelle oma ohjelmisto. Sen jälkeen koneella voidaan tehdä mitä halutaan.

2) Tarjotaan haittaohjelmaa jonkin sovelluksen kautta. Kuten sähköposti tai www-selain. Esimerkiksi joku korkkaa vaikka tämän saitin. Huomaa että käyttäjät käyttää mozilla pohjaisia www-selaimia. Sen jälkeen sivustoa muutetaan niin, että selain lataa taustalla jonkin scriptin, joka suoritetaan sitten käyttäjän koneella. Ensinmäisenä nämä haittaohjelmat pyrkivät hakemaan nipun muita ohjelmia netistä, asentaa ne kohdekoneelle ja sen jälkeen kone on vallattu. Sitten voidaan tautalla tehdä mitä huvittaa, ilman että käyttäjä tietää asiasta mitään.

1) on vaikeahko Mac OS X:ssä kun mitään palveluita ei ole päällä oletuksena. Joten ei ole auki heikkouksiakaan.

2) tää on taas vaikeeta siksi, kun X:ssä scriptin lataaminen vielä onnistuu, mutta sen käynnistäminen tuottaa tuskaa. Joten tuppaa jäämään noi netistä haettavat ohjelmat hakematta ja jos saa haettua, ne pitäis saada käynnistettyä joka on edelleen vaikeaa.

mungiisi · Viesti Kirjoittaja **mungiisi** » 3.12.2007 klo 22.32

Akseli Kartaani kirjoitti:
mungiisi kirjoitti:
Jamac kirjoitti:Console niminen ohjelma /Application/Utilities kansiossa ja sitten valitset palomuurin lokin. Tosin se näyttää vaan palomuurin tapahtumat, normaalitilanteessa vaikka palomuuri ei olisikaan päällä, niin lokissa olevista "yhteydenotoista" ei ole harmia koska mikään palvelu ei ole oletuksena niitä kutsuhuutoja vastaanottamassa.
Millä nimellä palomuurin loki on tuolla? Secure.log?
ipfw.log

Lokitiedosto ammottaa tyhjyyttään. Eli kukaan ei ole päässyt konettani kaappaamaan tai on tehnyt sen ja tyhjentänyt samalla tuon tiedoston.

TheKraken · Viesti Kirjoittaja **TheKraken** » 3.12.2007 klo 23.31

Itse taas yhdessä vaiheessa pyöritin palvelinta koneellani ja voin sanoa, että yhteydenottoja tuli suunnasta jos toisesta, kun oli pari palvelua koneella pyörimässä. Eipä kukaan koskaan sisään asti päässyt, vaikka selkeästi oli kyllä botteja yrittämässä

spiidi78 · Viesti Kirjoittaja **spiidi78** » 6.12.2007 klo 14.54

mungiisi kirjoitti:
Akseli Kartaani kirjoitti:
mungiisi kirjoitti:
Jamac kirjoitti:Console niminen ohjelma /Application/Utilities kansiossa ja sitten valitset palomuurin lokin. Tosin se näyttää vaan palomuurin tapahtumat, normaalitilanteessa vaikka palomuuri ei olisikaan päällä, niin lokissa olevista "yhteydenotoista" ei ole harmia koska mikään palvelu ei ole oletuksena niitä kutsuhuutoja vastaanottamassa.
Millä nimellä palomuurin loki on tuolla? Secure.log?
ipfw.log
Lokitiedosto ammottaa tyhjyyttään. Eli kukaan ei ole päässyt konettani kaappaamaan tai on tehnyt sen ja tyhjentänyt samalla tuon tiedoston.

Secure.logia vaan katselemaan. Sieltä näkee kaikki kirjautumisyritykset jne

Loki · Viesti Kirjoittaja **Loki** » 10.12.2007 klo 19.42

Ihan mielenkiinnosta aattelin vilkaista tuota secure.logia mutta se (ja pari muuta logia) on harmaana ja ilmoittaa et "You do not have permission to read this file". Mistäs moiset oikeudet sitten saa kun pääkäyttäjänä kirjautuminen ei muka riitä?

spiidi78 · Viesti Kirjoittaja **spiidi78** » 10.12.2007 klo 20.33

Loki kirjoitti:Ihan mielenkiinnosta aattelin vilkaista tuota secure.logia mutta se (ja pari muuta logia) on harmaana ja ilmoittaa et "You do not have permission to read this file". Mistäs moiset oikeudet sitten saa kun pääkäyttäjänä kirjautuminen ei muka riitä?

Oletuksena siinä on oikeudet vain root-käyttäjälle. Voit muokata oikeuksia kun valkkaat tiedoston konsolissa ja "reveal in finder" (näytä finderissa tai jotain). Sitten tiedosto valittuna painat omppu-i:llä tiedot esiin ja napsautat lukon auki, että pääset muokkaamaan tiedoston oikeuksia ja laitat adminille vaikka lukuoikeudet.

hnu · Viesti Kirjoittaja **hnu** » 22.12.2007 klo 20.35

Voit muokata oikeuksia kun valkkaat tiedoston konsolissa ja "reveal in finder" (näytä finderissa tai jotain).

Ei löydy minun konsolistani tuollaista toimintoa. Eikä Etsi -toiminnolla löydy secure.log -tiedostoa. En pääse lukemaan sen sisältöä.

t. Hanu

kermit · Viesti Kirjoittaja **kermit** » 22.12.2007 klo 22.46

Terminalissa ylläpitäjän oikeuksin:

Koodi: Valitse kaikki

sudo nano /var/log/secure.log

pääsee lukemaan. Ctrl+x poistutaan Nanosta.