Доброй всем ночи!!!
Задал работодатель админу задачу. Есть хост в LANe, за ним работает недобропорядочный пользователь, посещает URL и постит туда сообщения. Есть прокси Squid (Linux). Известен URL и IP пользователя. Нужно просмотреть что он постит.
Можно ли сквид заставить сохранять передаваемые транзакции. Подскажите пожалуйста хотябы в каком направлении копать ???

• мониторинг информации отправляемой через сквид,Alexander Sheiko, 05:07 , 26-Сен-07
  • мониторинг информации отправляемой через сквид,DenSha, 14:57 , 26-Сен-07
    • мониторинг информации отправляемой через сквид,orionpro, 18:09 , 26-Сен-07
  • мониторинг информации отправляемой через сквид,orionpro, 18:27 , 26-Сен-07
    • мониторинг информации отправляемой через сквид,Alexander Sheiko, 18:36 , 26-Сен-07
      • мониторинг информации отправляемой через сквид,orionpro, 00:16 , 27-Сен-07

>Доброй всем ночи!!!
>Задал работодатель админу задачу. Есть хост в LANe, за ним работает недобропорядочный
>пользователь, посещает URL и постит туда сообщения. Есть прокси Squid (Linux).
>Известен URL и IP пользователя. Нужно просмотреть что он постит.
>Можно ли сквид заставить сохранять передаваемые транзакции. Подскажите пожалуйста хотябы в каком
>направлении копать ???

Только снифить на входящем порту прокси по IP пользователя.

кейлоггер на ПК пользователя

>кейлоггер на ПК пользователя

Кейлоггер не рулит. Узер очень осторожный - может обнаружить. Так что кейлоггер последний вариант. Да и вычисляется KAV'ом он легко. Хотя если есть сцыллка на хороший кейлоггер буду очень благодарен.

>>Доброй всем ночи!!!
>>Задал работодатель админу задачу. Есть хост в LANe, за ним работает недобропорядочный
>>пользователь, посещает URL и постит туда сообщения. Есть прокси Squid (Linux).
>>Известен URL и IP пользователя. Нужно просмотреть что он постит.
>>Можно ли сквид заставить сохранять передаваемые транзакции. Подскажите пожалуйста хотябы в каком
>>направлении копать ???
>
>Только снифить на входящем порту прокси по IP пользователя.

спасибо за совет. но уже пробывал. очень муторно анализировать.
А что нельзя, например сквид заставить в аксесслог записывать полную строку с параметрами которые он парсит скрипту на сайте.
Наприме в аксесслоге есть строка
31212343423.343  160  192.168.0.1  TCP_MISS/200 21844 POST http://smssend.net/send.aspx? text/html
можно ли как то получить то что идет после send.aspx? т.к. анализируя tcpdump ом видно, что дальше есть то что необходимо.

>спасибо за совет. но уже пробывал. очень муторно анализировать.
>А что нельзя, например сквид заставить в аксесслог записывать полную строку с
>параметрами которые он парсит скрипту на сайте.
>Наприме в аксесслоге есть строка
>31212343423.343  160  192.168.0.1  TCP_MISS/200 21844 POST http://smssend.net/send.aspx? text/html
>можно ли как то получить то что идет после send.aspx? т.к. анализируя
>tcpdump ом видно, что дальше есть то что необходимо.

Можно поковырять squid.conf на предмет форматов логов. Но - кроме URL там ничего не добиться...

>>спасибо за совет. но уже пробывал. очень муторно анализировать.
>>А что нельзя, например сквид заставить в аксесслог записывать полную строку с
>>параметрами которые он парсит скрипту на сайте.
>>Наприме в аксесслоге есть строка
>>31212343423.343  160  192.168.0.1  TCP_MISS/200 21844 POST http://smssend.net/send.aspx? text/html
>>можно ли как то получить то что идет после send.aspx? т.к. анализируя
>>tcpdump ом видно, что дальше есть то что необходимо.
>
>Можно поковырять squid.conf на предмет форматов логов. Но - кроме URL там
>ничего не добиться...

Да действительно, ничего выкрутить из сквида не получилось.
Но проблему все-таки решил .
Попробовал снифить ettercap'ом - все получилось более менее читабельно.(До этого пробовал tcpdump'ом).
Спасибо !
Тема закрыта.