From: Serkan Kenar (serkan@ieee.metu.edu.tr)
Date: Tue 29 Jul 2003 - 10:00:47 EEST
selam,
Umut wrote:
> Loglarima baktigimda 04:40 itibariyle tum kritik loglarin
> (syslog, messages, cronlog...) sifirlandigini gordum...
> Killandim ister istemez... Birinin girip girmedigini
> nasil ogrenebilirim?
chkrootkit, sık aralıklarla güncellenen başarılı bir root kit tespit
yazılımı. bunu kullanmanızı tavsiye ederim. giren bir kişi rootkit
yerleştirdiyse bilinen yazılımların değişmiş olabilme ihtimaline
karşılık, sistem temizken oluşturulmuş bir database'iyle tripwire veya
benzeri yazılımların çıktısını incelemek de faydalı olur. rpm tabanlı
bir sistemde rpm binarylerinin orijinal olduğundan emin olduktan sonra,
verify seçeneklerini kullanarak sisteminizdeki binarylerin değişip
değişmediğini de denetleyebilirsiniz.
giren bir kişinin çıkmadan evvel ilk yapacağı iş logları sıfırlamak
olacağından, logları ayrı ve güvenli bir makinede tutmayı da
düşünebilirsiniz. tabi sizin durumunuzda olay basitçe logrotate
çalışması da olabilir. ;)
tüm taramalarınızda negatif sonuç alsanız da şüpheye düşüyorsanız,
sistemi yeniden kurmak en güvenli yöntem olacaktır. :)
Saygı, Sevgi,
-- Serkan Kenar