forum.opennet.ru - "Как обноружить сканирование" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Как обноружить сканирование"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как обноружить сканирование"
Сообщение от Stiks on 18-Сен-02, 23:18 (MSK)
Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень часто стали попадаться непонятные записи в логах о доступах в систему. Немного подумав проверил сканером, да есть дыры залотал, но вот как обнаружить эти сканирования и оповестить админа, можно по маил. + ip сканирующего
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Как обноружить сканирование, BSDLamer, 23:20 , 18-Сен-02, (1)
- RE: Как обноружить сканирование, Stiks, 23:22 , 18-Сен-02, (2)
  - RE: Как обноружить сканирование, AD, 06:08 , 19-Сен-02, (3)
    - RE: Как обноружить сканирование, bass, 06:12 , 19-Сен-02, (4)
      - RE: Как обноружить сканирование, AD, 06:35 , 19-Сен-02, (5)
  - RE: Как обноружить сканирование, vova, 06:35 , 20-Сен-02, (6)
    - RE: Как обноружить сканирование, AD, 06:41 , 20-Сен-02, (7)
      - RE: Как обноружить сканирование, vova, 06:49 , 20-Сен-02, (8)
RE: Как обноружить сканирование, Medlar, 13:18 , 20-Сен-02, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Как обноружить сканирование"

Сообщение от BSDLamer on 18-Сен-02, 23:20  (MSK)

>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень
>часто стали попадаться непонятные записи в логах о доступах в систему.
>Немного подумав проверил сканером, да есть дыры залотал, но вот как
>обнаружить эти сканирования и оповестить админа, можно по маил. + ip
>сканирующего
попробуй snort

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Как обноружить сканирование"

Сообщение от Stiks on 18-Сен-02, 23:22  (MSK)

>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень
>>часто стали попадаться непонятные записи в логах о доступах в систему.
>>Немного подумав проверил сканером, да есть дыры залотал, но вот как
>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip
>>сканирующего
>
>попробуй snort
спасибо, уже пробую, и читаю заодно www.snort.org

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Как обноружить сканирование"

Сообщение от AD on 19-Сен-02, 06:08  (MSK)

>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень
>>>часто стали попадаться непонятные записи в логах о доступах в систему.
>>>Немного подумав проверил сканером, да есть дыры залотал, но вот как
>>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip
>>>сканирующего
>>
>>попробуй snort
>
>спасибо, уже пробую, и читаю заодно www.snort.org
есть еще portsentry, определяет когда сканит, если надо денай ставит и на мыло письмо шлет кто откуда и куда.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Как обноружить сканирование"

Сообщение от bass on 19-Сен-02, 06:12  (MSK)

>есть еще portsentry, определяет когда сканит, если надо денай ставит и на
>мыло письмо шлет кто откуда и куда.
беда в том, что portsentry работает после файрвола, и при грамотно настроеном огнестенне на портцентри не попадёт ничего :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Как обноружить сканирование"

Сообщение от AD on 19-Сен-02, 06:35  (MSK)

>>есть еще portsentry, определяет когда сканит, если надо денай ставит и на
>>мыло письмо шлет кто откуда и куда.
>
>беда в том, что portsentry работает после файрвола, и при грамотно настроеном
>огнестенне на портцентри не попадёт ничего :)
вот еще это есть
http://project.honeynet.org/
правда несколько сложновата.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Как обноружить сканирование"

Сообщение от vova on 20-Сен-02, 06:35  (MSK)

>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень
>>>часто стали попадаться непонятные записи в логах о доступах в систему.
>>>Немного подумав проверил сканером, да есть дыры залотал, но вот как
>>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip
>>>сканирующего
>>
>>попробуй snort
>
>спасибо, уже пробую, и читаю заодно www.snort.org

Приветствую.
Решил вот тоже snort посмотреть. Все сделал как в доке его написано, однако когда запускаю стартовый скрипт (/etc/init.d/snortd start) он мне выдает следующие:
rm: cannot remove `/var/log/snort/alert': No such file or directory
и не стартуется
Что это за файлик или каталог такой, про него не слова в доке, иль может я проглядел ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Как обноружить сканирование"

Сообщение от AD on 20-Сен-02, 06:41  (MSK)

>>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень
>>>>часто стали попадаться непонятные записи в логах о доступах в систему.
>>>>Немного подумав проверил сканером, да есть дыры залотал, но вот как
>>>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip
>>>>сканирующего
>>>
>>>попробуй snort
>>
>>спасибо, уже пробую, и читаю заодно www.snort.org
>
>
>Приветствую.
>Решил вот тоже snort посмотреть. Все сделал как в доке его написано,
>однако когда запускаю стартовый скрипт (/etc/init.d/snortd start) он мне выдает следующие:
>
>rm: cannot remove `/var/log/snort/alert': No such file or directory
>и не стартуется
>
>Что это за файлик или каталог такой, про него не слова в
>доке, иль может я проглядел ?
проверь наличие самой директории /var/log/snort и права на нее.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Как обноружить сканирование"

Сообщение от vova on 20-Сен-02, 06:49  (MSK)

>>>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень
>>>>>часто стали попадаться непонятные записи в логах о доступах в систему.
>>>>>Немного подумав проверил сканером, да есть дыры залотал, но вот как
>>>>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip
>>>>>сканирующего
>>>>
>>>>попробуй snort
>>>
>>>спасибо, уже пробую, и читаю заодно www.snort.org
>>
>>
>>Приветствую.
>>Решил вот тоже snort посмотреть. Все сделал как в доке его написано,
>>однако когда запускаю стартовый скрипт (/etc/init.d/snortd start) он мне выдает следующие:
>>
>>rm: cannot remove `/var/log/snort/alert': No such file or directory
>>и не стартуется
>>
>>Что это за файлик или каталог такой, про него не слова в
>>доке, иль может я проглядел ?
>
>проверь наличие самой директории /var/log/snort и права на нее.
Есть такая права 755 на нее

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Как обноружить сканирование"

Сообщение от Medlar on 20-Сен-02, 13:18  (MSK)

iptables можно настроить на определение сканирования, примеры здесь:
http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filtering-HOWTO.html
http://linuxland.itam.nsc.ru/howto/howto01/packet-filtering-HOWTO.html

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Как обноружить сканирование"
Сообщение от BSDLamer on 18-Сен-02, 23:20 (MSK)
>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень >часто стали попадаться непонятные записи в логах о доступах в систему. >Немного подумав проверил сканером, да есть дыры залотал, но вот как >обнаружить эти сканирования и оповестить админа, можно по маил. + ip >сканирующего попробуй snort
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Как обноружить сканирование"
	Сообщение от Stiks on 18-Сен-02, 23:22 (MSK)
	>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень >>часто стали попадаться непонятные записи в логах о доступах в систему. >>Немного подумав проверил сканером, да есть дыры залотал, но вот как >>обнаружить эти сканирования и оповестить админа, можно по маил. + ip >>сканирующего > >попробуй snort спасибо, уже пробую, и читаю заодно www.snort.org
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Как обноружить сканирование"
	Сообщение от AD on 19-Сен-02, 06:08 (MSK)
	>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень >>>часто стали попадаться непонятные записи в логах о доступах в систему. >>>Немного подумав проверил сканером, да есть дыры залотал, но вот как >>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip >>>сканирующего >> >>попробуй snort > >спасибо, уже пробую, и читаю заодно www.snort.org есть еще portsentry, определяет когда сканит, если надо денай ставит и на мыло письмо шлет кто откуда и куда.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Как обноружить сканирование"
	Сообщение от bass on 19-Сен-02, 06:12 (MSK)
	>есть еще portsentry, определяет когда сканит, если надо денай ставит и на >мыло письмо шлет кто откуда и куда. беда в том, что portsentry работает после файрвола, и при грамотно настроеном огнестенне на портцентри не попадёт ничего :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Как обноружить сканирование"
	Сообщение от AD on 19-Сен-02, 06:35 (MSK)
	>>есть еще portsentry, определяет когда сканит, если надо денай ставит и на >>мыло письмо шлет кто откуда и куда. > >беда в том, что portsentry работает после файрвола, и при грамотно настроеном >огнестенне на портцентри не попадёт ничего :) вот еще это есть http://project.honeynet.org/ правда несколько сложновата.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Как обноружить сканирование"
	Сообщение от vova on 20-Сен-02, 06:35 (MSK)
	>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень >>>часто стали попадаться непонятные записи в логах о доступах в систему. >>>Немного подумав проверил сканером, да есть дыры залотал, но вот как >>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip >>>сканирующего >> >>попробуй snort > >спасибо, уже пробую, и читаю заодно www.snort.org Приветствую. Решил вот тоже snort посмотреть. Все сделал как в доке его написано, однако когда запускаю стартовый скрипт (/etc/init.d/snortd start) он мне выдает следующие: rm: cannot remove `/var/log/snort/alert': No such file or directory и не стартуется Что это за файлик или каталог такой, про него не слова в доке, иль может я проглядел ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Как обноружить сканирование"
	Сообщение от AD on 20-Сен-02, 06:41 (MSK)
	>>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень >>>>часто стали попадаться непонятные записи в логах о доступах в систему. >>>>Немного подумав проверил сканером, да есть дыры залотал, но вот как >>>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip >>>>сканирующего >>> >>>попробуй snort >> >>спасибо, уже пробую, и читаю заодно www.snort.org > > >Приветствую. >Решил вот тоже snort посмотреть. Все сделал как в доке его написано, >однако когда запускаю стартовый скрипт (/etc/init.d/snortd start) он мне выдает следующие: > >rm: cannot remove `/var/log/snort/alert': No such file or directory >и не стартуется > >Что это за файлик или каталог такой, про него не слова в >доке, иль может я проглядел ? проверь наличие самой директории /var/log/snort и права на нее.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Как обноружить сканирование"
	Сообщение от vova on 20-Сен-02, 06:49 (MSK)
	>>>>>Как обноружить, что мой сервер сканируется сканерами типа XSpider и другими? Очень >>>>>часто стали попадаться непонятные записи в логах о доступах в систему. >>>>>Немного подумав проверил сканером, да есть дыры залотал, но вот как >>>>>обнаружить эти сканирования и оповестить админа, можно по маил. + ip >>>>>сканирующего >>>> >>>>попробуй snort >>> >>>спасибо, уже пробую, и читаю заодно www.snort.org >> >> >>Приветствую. >>Решил вот тоже snort посмотреть. Все сделал как в доке его написано, >>однако когда запускаю стартовый скрипт (/etc/init.d/snortd start) он мне выдает следующие: >> >>rm: cannot remove `/var/log/snort/alert': No such file or directory >>и не стартуется >> >>Что это за файлик или каталог такой, про него не слова в >>доке, иль может я проглядел ? > >проверь наличие самой директории /var/log/snort и права на нее. Есть такая права 755 на нее
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

9. "RE: Как обноружить сканирование"
Сообщение от Medlar on 20-Сен-02, 13:18 (MSK)
iptables можно настроить на определение сканирования, примеры здесь: http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filtering-HOWTO.html http://linuxland.itam.nsc.ru/howto/howto01/packet-filtering-HOWTO.html
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх