Log delle intrusioni su MySQL grazie al target ulogd di iptables

25 aprile 2009 - Fonte: http://www.voipandhack.it

Il target -j LOG di iptables/netfilter salva un sommario testuale degli headers dei pacchetti intercettati nel sottosistema di syslog che va poi normalmente a finire in /var/log/messages, o comunque dove sia stato configurato.
Ma come fare, nel caso volessimo registrare l’intero pacchetto, o una porzione particolare di esso, per esami futuri?
Contrariamente a quanto avviene con altri moduli firewall, vi è bisogno di un programma in userspace, nella fattispecie chiamato ulogd, per poter trattare i pacchetti ottenuti.

In Debian o Ubuntu, “ulogd” è un software appartenente alla categoria Universe, quindi non ufficilmente supportato. Non ci si deve meravigliare se su Ubuntu 8.10, il package presenta un bug:

Starting netfilter userspace log...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , ,

Tutti contro il povero Conficker

23 aprile 2009 - Fonte: http://www.voipandhack.it

La minaccia costituita dal worm Conficker ci sta facendo assistere ultimamente ad alcuni episodi da “santa alleanza” tra il mondo del software open source e quello del software proprietario. L’ultimo ci rappresenta addirittura l’improbabile accostamento tra Fjodor e Peter Norton.
Un team di ricercatori di Symantec ha contribuito a sviluppare la capacità da parte di Nmap di rilevare il worm sui PC infetti utilizzando il medesimo protocollo P2P (peer-to-peer) che il malware sfrutta per comunicare con i suoi creatori.
Il team di Symantec ha collaborato con Ron Bowes, uno degli sviluppatori dello scanner Nmap, per trovare il modo di individuare le macchine infette da Conficker.c e dalla sua versione di upgrade, quel Conficker.e...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , ,

SshGuard per bloccare gli attacchi brute-force

21 aprile 2009 - Fonte: http://www.voipandhack.it

SSHGuard (http://sourceforge.net/projects/sshguard/) è un software (lo dobbiamo ad un giovane programmatore italiano, Michele Mazzucchi) che si può far rientrare nella categoria degli “intrusion prevention system” basati sul monitoring dei log.
Esso in pratica monitorizza l’ attivita di logging relativa a diversi processi, deduce da questa analisi costante quando un server si trovi sotto attacco e reagisce attivando delle specifiche regole di firewalling, bloccando in tal modo l’indirizzo dell’attaccante.
Gli attacchi in questione sono quelli di tipo “brute force” basati su dizionario, quelli, per intendersi sferrati tramite tools come il famosissimo...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , ,