Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Powiadomienie o wirusie
http://forum.freesco.pl/viewtopic.php?f=27&t=7929		 Strona 1 z 1
Autor:  bihur [ środa, 15 czerwca 2005, 07:43 ]
Tytuł:  Powiadomienie o wirusie
jest jakaś mozliwość automatycznego powiadomienia przez serwer że dany user ma wiusa np. blastera czy sasera i przekierować ( włączyc mu blokadę do sieci ) do czasu kiedy go usunie?.
Autor:  Koriolan [ środa, 15 czerwca 2005, 12:52 ]
Tytuł: 
Tak.
Ja mam firewalla Zciecha (troszkę zmodyfikowany - patrz Forum-> szukaj) i taki skrypcik:
: [/] [] ()
# skrypt sprawdzajcy Blasetera i Sasera na eth1 (siec wew.)
echo '#'
echo '# Saser'
echo '#'
cat /var/log/syslog | grep IN=eth1 | grep Saser | more
echo '#'
echo '# Blaster'
echo '#'
cat /var/log/syslog | grep IN=eth1 | grep Blas | more
GeSHi © Codebox Plus

eth1 to siec wew.
Wystarczy powiązać to z jakimś powiadomieniem i blokadą na firewall'u i po sprawie.

Ja to robie ręcznie: daję userowi 24 godz. i dopiero go blokuję.
Czasami sa pomyłki :-(
Autor:  bihur [ czwartek, 30 czerwca 2005, 07:37 ]
Tytuł: 
super się przegląda napewno to duzo daje i faktycznie pomaga , ale trzeba wchodzic do serwera i sprawdzać , mozliwosc napewno jest zeby to robic za pomocą crona dziennego ale jak to zapisać do logu wynikowego to wtedy mozna by było to przeglądać z poziomu www.
Autor:  Koriolan [ czwartek, 30 czerwca 2005, 10:57 ]
Tytuł: 
To jest tylko myśl - kierunek.
Przecież mozesz to rozbudowac i skierować gdzie chcesz np.
w /var/spool/cron/crontabs/root wpiszesz
15 * * * * /...skrypt.. >>/var/www/htdocs/wirus_log.txt

To co godzinę dopisze Ci nowe wiadomości i bedziesz mógł je sobie na www ogladać.
Oczywiscie trzeba to porządnie wpisać.
Autor:  bihur [ niedziela, 3 lipca 2005, 10:50 ]
Tytuł: 
zrobilem w kronie dziennym cos takiego:
#!/bin/sh
cd /var/www/htdocs/wirus/
/var/www/htdocs/wirus/blaster
cd /var/www/htdocs/wirus/
/var/www/htdocs/wirus/blaster >wirus.txt start
a sam skrypcik rozbudowalem:

#! /bin/sh
# skrypt sprawdzajcy Blasetera i Sasera na eth1 (siec wew.)
echo '#'
echo '# Saser'
echo '#'
cat /var/log/syslog | grep IN=eth1 | grep Saser
echo '#'
echo '# Blaster'
echo '#'
cat /var/log/syslog | grep IN=eth1 | grep Blas
echo '#'
echo '# Trojan Wootbot'
echo '#'
cat /var/log/syslog | grep IN=eth1 | grep Woot
echo '#'
echo '# eMule-4662,4665,4672'
echo '#'
cat /var/log/syslog | grep IN=eth1 | grep eMule

oczywiscie jeszcze odpowiednie wpisy w firewallu- dziła wszystko i można takiego loga zobaczyc z poziomu www
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/