資安論壇

行政院 國家資通安全會報 - 技術服務中心 - 資安論壇 http://forum.icstc.org/
現在的時間是 2012年 10月 22日, 01:06

檢視沒有回覆的主題 | 檢視最近討論的主題


討論區首頁 » 資安工具, 系統討論區 » 鑑識(Forensics)討論版

所有顯示的時間為 UTC + 8 小時




發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 10 篇文章 ] 
  列印模式 上一個主題 | 下一個主題 
發表人 內容
gsn@mail.ntepb.gov.tw
 文章主題 : 寂寞的版
文章發表於 : 2004年 5月 14日, 10:02 
離線

註冊時間: 2003年 4月 3日, 14:05
文章: 4
來自: 南投縣政府環境保護局
可能網管人員都太辛苦了,很少人注意檢查LOG,當然,LOG是預防事件發生及已經發生後檢討的最有利武器。
如果,有智慧型及自動的以及免費的分析程式是最好的啦。
版主加油。
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2004年 5月 14日, 22:56 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
德不孤,必有鄰~
小弟目前正為log analysis努力中...
回頂端
 個人資料  
 
123123kkkk
 文章主題 :
文章發表於 : 2004年 11月 8日, 20:05 
離線

註冊時間: 2004年 11月 7日, 18:57
文章: 119
來自: 哥倫比亞波哥大內
看看網管工具那版才叫冷-.-

_________________
圖檔
回頂端
 個人資料  
 
BoFan
 文章主題 :
文章發表於 : 2004年 11月 8日, 21:01 
離線

註冊時間: 2002年 9月 30日, 22:12
文章: 599
請教 .SM. 大大。請問您是努力於分析 LOG 檔內容及特性,或是開發可讀取及分析的應用軟體。還希望早日能分享您的成果。加油!加油!
回頂端
 個人資料  
 
tony
 文章主題 :
文章發表於 : 2004年 11月 9日, 03:30 
離線
討論版管理員

註冊時間: 2002年 10月 11日, 08:50
文章: 634
.SM. 寫:
德不孤,必有鄰~
小弟目前正為log analysis努力中...


分享些經驗吧
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2004年 11月 9日, 10:50 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
BoFan 寫:
請教 .SM. 大大。請問您是努力於分析 LOG 檔內容及特性,或是開發可讀取及分析的應用軟體。還希望早日能分享您的成果。加油!加油!

小弟目前做的只是將所以主機的Log集中蒐集到一台資料庫中,再由另一支程式定期到資料庫中撈出資料作成可讀性的報表.
下一步打算做Rule-Base的Log Analysis,不過還沒開始做.
小弟整理了一些有關Log Analysis的Bookmark,有興趣的話,歡迎討論.

http://samlin2004.myweb.hinet.net/bookm ... alysis.htm

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
BoFan
 文章主題 :
文章發表於 : 2004年 11月 9日, 12:02 
離線

註冊時間: 2002年 9月 30日, 22:12
文章: 599
小弟我有常看 Log 的習慣,平台為 FreeBSD,而我只開 Port 22 、80。最常見到的就是。
# tail /var/log/messages
Nov 3 20:10:44 mis sshd[10104]: refused connect from 211.75.113.237 (211.75.113.237)
Nov 4 06:42:05 mis sshd[10872]: refused connect from 211.75.113.237 (211.75.113.237)
Nov 4 06:42:08 mis sshd[10873]: refused connect from 211.75.113.237 (211.75.113.237)
Nov 4 06:55:09 mis sshd[10883]: refused connect from 211.75.113.237 (211.75.113.237)
Nov 4 06:55:19 mis sshd[10884]: refused connect from 211.75.113.237 (211.75.113.237)
Nov 6 06:24:25 mis sshd[16253]: refused connect from 218.21.129.102 (218.21.129.102)
Nov 6 23:17:58 mis sshd[16988]: refused connect from 131.247.154.220 (131.247.154.220)
Nov 6 23:17:58 mis sshd[16989]: refused connect from 131.247.154.220 (131.247.154.220)
Nov 9 08:06:54 mis sshd[20445]: refused connect from 131.152.84.125 (131.152.84.125)
Nov 9 08:06:54 mis sshd[20446]: refused connect from 131.152.84.125 (131.152.84.125)

還好我有把 TCP_WRAPPER 設起來。因為發現大部份的惡意連線都是這類的訊息,真不知是不是利用 SSH 的某個漏洞企圖入侵我的機器。

之前也想過設個資料庫存下來,看看是否如果收到這類的訊息就將 IP 記錄下來、以利日後的運用。可惜……一直未動手(真是慚愧)。
回頂端
 個人資料  
 
.SM.
 文章主題 :
文章發表於 : 2004年 11月 9日, 13:12 
離線

註冊時間: 2004年 3月 3日, 18:38
文章: 934
來自: Code Page 950
BoFan 寫:
小弟我有常看 Log 的習慣,平台為 FreeBSD,而我只開 Port 22 、80。最常見到的就是。

... 恕略...

之前也想過設個資料庫存下來,看看是否如果收到這類的訊息就將 IP 記錄下來、以利日後的運用。可惜……一直未動手(真是慚愧)。


這篇不知道您有無興趣? For Linux的, 不知道該套件能不能用在FreeBSD...

http://forum.icstc.org/phpBB2/viewtopic.php?t=4190

_________________
This posting is provided "AS IS" with no warranties, and confers no rights.
回頂端
 個人資料  
 
BoFan
 文章主題 :
文章發表於 : 2004年 11月 9日, 13:52 
離線

註冊時間: 2002年 9月 30日, 22:12
文章: 599
謝謝!

剛看了一下 FreeBSD 的 PORTS 中,似乎都有上面列到的一些 Packages。所以我想應該也能夠執行才是!
回頂端
 個人資料  
 
j_liu
 文章主題 :
文章發表於 : 2005年 10月 1日, 17:51 
離線

註冊時間: 2005年 9月 30日, 12:54
文章: 30
來自: Canada (now in Taiwan)
2001年Las Vegas的Blackhat Briefing有一場演是有關Web server log analysis.

我等了一年, 演講者都沒有把他的程式放出來 :-(
後來我就自己花兩個月寫了個script給客戶.

它分析幾十GB的web log只要2~3分鐘.
所有的attacks只要web server有log下來, 通通都能抓出來再將攻擊分類歸成幾個檔.

因為職務的關係, 我不能share這隻程式.
但我可以給有興趣的人一些hint:
:arrow: 用bash script就足夠了.
:arrow: 過濾不是難事.
:arrow: 辨識哪些是attacks才是這隻程式值錢的地方.

_________________
資深資安顧問/WebApp Security講師
圖檔按這裡與我聯絡
回頂端
 個人資料  
 
顯示文章 :  排序  
發表新文章 回覆主題  第 1 頁 (共 1 頁)
  [ 10 篇文章 ] 

討論區首頁 » 資安工具, 系統討論區 » 鑑識(Forensics)討論版

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 2 位訪客

不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章

搜尋:
前往 :  
POWERED_BY
正體中文語系由 竹貓星球 維護製作