Freesco, NND, CDN, EOS :: Wyświetl temat - Jakie logi trzeba trzymac

Nie, ale lacze jest wziete na Ciebie i do ciebie zglosi sie policja w razie naduzyc pochodzacych z twojego ip. Jesli nie jestes w stanie udowodnic, ze to uzytkownik twojej sieci, to masz problem.

#-- zabija proces logowania
killall tcpdump
#-- zmienia nazwe pliku na robocza do pakowania
mv /tmp/logi.dmp /tmp/roboczy.dmp
#-- uruchomienie logowania
tcpdump -i eth1 tcp [13] == 2 -w /tmp/logi.dmp &
#--zapisuje w zmiennej ip routera
IPzew="`ifconfig eth0 |grep addr: |sed 's/ /-/g' |sed 's/-.*addr://'g |sed 's/-.*//'g`"
#-- archiwizacja
tar cvfz /var/www/logi/$IPzew-`date +%Y-%m-%d-%H-%M-%S`.tar.gz /tmp/roboczy.dmp
#-- kasuje plik roboczy
rm /tmp/roboczy.dmp

#-- dekoduje dane zawatre w pliku tymczasowym i zapisuje do pliku --

tcpdump -r roboczy.dmp > !!!.txt

Autor:	TheL [ wtorek, 5 czerwca 2007, 13:53 ]
Tytuł:	Jakie logi trzeba trzymac
Hej tak sie wlasnie zastanawiam nad faktem ktore logi trzeba trzymac aby moc pokazac w razie kontroli sieci przez dziwne organizacje. Wiecie cos moze o tym temacie ? Jesli bym chcial logowac wszystkie polaczenia userow to dyski bym zapelnil w ciagu jednego jednego dnia.

Autor:	tasiorek [ wtorek, 5 czerwca 2007, 17:10 ]
Tytuł:
Fakt nawiazania polaczenia (pakiety SYN) jest gotowy skrypt na forum i access.log ze squida.

Autor:	blackangel [ wtorek, 5 czerwca 2007, 17:49 ]
Tytuł:
Ale czy masz/mamy obowiązek trzymania takich logów?

Autor:	tasiorek [ wtorek, 5 czerwca 2007, 17:53 ]
Tytuł:
Nie, ale lacze jest wziete na Ciebie i do ciebie zglosi sie policja w razie naduzyc pochodzacych z twojego ip. Jesli nie jestes w stanie udowodnic, ze to uzytkownik twojej sieci, to masz problem.

Autor:	blackangel [ wtorek, 5 czerwca 2007, 19:16 ]
Tytuł:
hehe nie jest na mnie ja tylko nim zarządzam a starego dziadka to mogą przesłuchiwać on ma kompa gorszego niż serwer więc im wytłumaczy kto to ściągał

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Jakie logi trzeba trzymac http://forum.freesco.pl/viewtopic.php?f=28&t=15452	Strona 1 z 1

Autor:	JakubC [ wtorek, 5 czerwca 2007, 20:17 ]
Tytuł:
Jednak chyba warto to robić aby zaoszczędzić sobie zabierania sprzętu do sprawdzenia, przesłuchań i innych tego typu nieprzyjemności. Jeżeli pokażesz logi, kto skąd i gdzie, to jesteś kompletnie czysty.

Autor:	TheL [ wtorek, 5 czerwca 2007, 23:14 ]
Tytuł:
a jakbym tak log z iptrafa przekierowal do pliku ? (musialbym szybko dolozyc jakis ogromny dysk chyba

Autor:	-MW- [ środa, 6 czerwca 2007, 00:12 ]
Tytuł:
Cytuj: Nie, ale lacze jest wziete na Ciebie i do ciebie zglosi sie policja w razie naduzyc pochodzacych z twojego ip. Jesli nie jestes w stanie udowodnic, ze to uzytkownik twojej sieci, to masz problem. z takiego zalozenia wychodze i codziennie sciagam plik wygenerowany przez tcpdump o objetosci 20-25MB. nie ulega watpliwosci, ze sa one potrzebne przekonalem sie juz 3 razy, kiedy to panowie z warszawskiej komurki przestepst internetowych prosili o interesujace ich dane. Cytuj: #-- zabija proces logowania killall tcpdump #-- zmienia nazwe pliku na robocza do pakowania mv /tmp/logi.dmp /tmp/roboczy.dmp #-- uruchomienie logowania tcpdump -i eth1 tcp [13] == 2 -w /tmp/logi.dmp & #--zapisuje w zmiennej ip routera IPzew="`ifconfig eth0 \|grep addr: \|sed 's/ /-/g' \|sed 's/-.addr://'g \|sed 's/-.//'g`" #-- archiwizacja tar cvfz /var/www/logi/$IPzew-`date +%Y-%m-%d-%H-%M-%S`.tar.gz /tmp/roboczy.dmp #-- kasuje plik roboczy rm /tmp/roboczy.dmp uruchamiany raz dziennie z crona i dodany do rc.local Cytuj: #-- dekoduje dane zawatre w pliku tymczasowym i zapisuje do pliku -- tcpdump -r roboczy.dmp > !!!.txt

Autor:	DjRobson [ czwartek, 7 czerwca 2007, 19:23 ]
Tytuł:
tasiorek pisze: Fakt nawiazania polaczenia (pakiety SYN) jest gotowy skrypt na forum i access.log ze squida. Chodzi o ten skrypt "ingiwilator" z forum? W moim przypadku, tzn. w momencie trzepania sieci, logi z serwa dałem nawet na płycie cdr. Biegły stwierdził, że tam nic niema oprócz tego, kto kiedy włączał kompa (pomijam fakt, ze ja co chcę to znajdę w tych logach). Access.log to co innego. Władza chce czasami sukcesu, więc jak sieć działa na nielegalu to i tak zwiną wszystkie kompy w wiadomym celu...

Autor:	tasiorek [ piątek, 8 czerwca 2007, 00:21 ]
Tytuł:
DjRobson pisze: Biegły stwierdził, że tam nic niema oprócz tego, kto kiedy włączał kompa Taki z niego biegly jak z koziej dupy trabka. Mam bardzo podobny skrypt i kilka bezproblemowych odwiedzin smutnych panow za soba.

Autor:	Jacq [ piątek, 8 czerwca 2007, 12:57 ]
Tytuł:
tylko taki mały aspekt, musicie mieć dowód ze dany ip należy do danej osoby. Ja w swojej amatorskiej sieci oprócz tcpdump-a każdemu użytkownikowi dałem do podpisania papierek ze w danym lokalu znajduje sie komputer o takim to a takim adresie IP identyfikujący sie takim to a takim MAC-kiem karty. Jeżeli koleś rzeczywiście coś namodził nie będzie się mógł wyprzeć że to nie on.

Autor:	tasiorek [ piątek, 8 czerwca 2007, 14:34 ]
Tytuł:
Wystarczy zapis o adresie mac umowie.

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/