Denuncie   Favoritos   Indicar  

Arquivos de logs [RESOLVIDO]

1. Arquivos de logs [RESOLVIDO]

pentest
pentestbox
(usa Ubuntu)

Enviado em 28/08/2017 - 11:31h

Ola pessoal, gostaria de saber quais os principais arquivos de logs que devem ser analisados em sistemas linux, que armazenem informações sobre uma invasão ao sistema? algum tipo de registro contendo o IP de origem de máquinas que realizaram Port Scan ao sistema, ou que conseguiram remoto ao sistema, enfim, quais seriam os principais arquivos de logs que vão conter essas informações?


0 0
  • Quote

    •   


    2. Re: Arquivos de logs [RESOLVIDO]

    Daniel Lara Souza
    danniel-lara
    (usa Fedora)

    Enviado em 28/08/2017 - 11:31h

    tudo fica no /var/log
    lá fica os arquivos de logs mais importantes

    0 0
  • Quote

    • 3. Re: Arquivos de logs [RESOLVIDO]

    pentest
    pentestbox
    (usa Ubuntu)

    Enviado em 28/08/2017 - 11:36h

    danniel-lara escreveu:

    tudo fica no /var/log
    lá fica os arquivos de logs mais importantes


    Sim, eu sei, mais são muitos arquivos dentro desse diretório, não da pra analisar todos ao mesmo tempo, quais dos arquivos seriam os mais importantes que contém registros de IP de origem de um ataque por exemplo, ou de um Port Scan, ou acesso remoto?

    0 0
  • Quote

    • 4. Re: Arquivos de logs [RESOLVIDO]

    Fabiano
    fpires
    (usa Debian)

    Enviado em 28/08/2017 - 12:16h

    Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
    Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!

    1 0
  • Quote

    • 5. Re: Arquivos de logs [RESOLVIDO]

    pentest
    pentestbox
    (usa Ubuntu)

    Enviado em 28/08/2017 - 12:34h

    fpires escreveu:

    Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
    Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


    Ok, digamos que o firewall não registra logs, sei que no /var/logs existe arquivos com syslog, message, etc... mais quais desses arquivos possuiriam os registros de IP, ex: no caso de um host realizar um scan de portas via Nmap, qual seria o arquivo de log a registrar essa atividade?

    0 0
  • Quote

    • 6. Re: Arquivos de logs [RESOLVIDO]

    Rodrigo Albuquerque Serafim
    raserafim
    (usa Slackware)

    Enviado em 28/08/2017 - 16:04h

    pentestbox escreveu:

    fpires escreveu:

    Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
    Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


    Ok, digamos que o firewall não registra logs, sei que no /var/logs existe arquivos com syslog, message, etc... mais quais desses arquivos possuiriam os registros de IP, ex: no caso de um host realizar um scan de portas via Nmap, qual seria o arquivo de log a registrar essa atividade?


    quem registra esse tipo de informação ("registros de IP", "scan de portas") nos logs do sistema é o Firewall!

    se não tem Firewall (seja ele um aplicativo ou a sua implementação diretamente em iptables), logo, não tem essas informações nos logs do sistema.

    quando se tem um Firewall, geralmente, seus logs são gravados no arquivo
    /var/log/syslog

    por outro lado, quando as mensagens não estão no arquivo mencionado, geralmente, é porque o Firewall as salvam em um arquivo de log por ele criado especificamente para guardar os seus logs.




    0 0
  • Quote

    • 7. Re: Arquivos de logs [RESOLVIDO]

    pentest
    pentestbox
    (usa Ubuntu)

    Enviado em 29/08/2017 - 11:11h

    raserafim escreveu:

    pentestbox escreveu:

    fpires escreveu:

    Isso vai depender do serviço, se a máquina possui ou não FW (e se esse está configurado para gravar logs ...)
    Pergunta genérica (ou vaga) recebe resposta genérica (ou vaga)!


    Ok, digamos que o firewall não registra logs, sei que no /var/logs existe arquivos com syslog, message, etc... mais quais desses arquivos possuiriam os registros de IP, ex: no caso de um host realizar um scan de portas via Nmap, qual seria o arquivo de log a registrar essa atividade?


    quem registra esse tipo de informação ("registros de IP", "scan de portas") nos logs do sistema é o Firewall!

    se não tem Firewall (seja ele um aplicativo ou a sua implementação diretamente em iptables), logo, não tem essas informações nos logs do sistema.

    quando se tem um Firewall, geralmente, seus logs são gravados no arquivo
    /var/log/syslog

    por outro lado, quando as mensagens não estão no arquivo mencionado, geralmente, é porque o Firewall as salvam em um arquivo de log por ele criado especificamente para guardar os seus logs.




    Como poderia então criar logs utilizando o Iptables? e qual o arquivo de log que ele salva os registros?

    0 0
  • Quote

    • 8. Re: Arquivos de logs [RESOLVIDO]

    Rodrigo Albuquerque Serafim
    raserafim
    (usa Slackware)

    Enviado em 30/08/2017 - 09:16h

    pentestbox escreveu:

    Como poderia então criar logs utilizando o Iptables? e qual o arquivo de log que ele salva os registros?
    no iptables, basicamente, criando regras com o parâmetro "LOG --log-prefix".

    por exemplo: 
     iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Tracerout [Alert]: "
    
  iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j DROP
    

    
  iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Whois [Alert]: "
    
  iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j DROP
    

    
  iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Telnet [Alert]: "
    
  iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j DROP

    por padrão os LOG's são salvos em:
    /var/log/syslog


    no entanto, por ser um assunto vasto e com muitas particularidades a depender do cenário de necessidades de cada um, sugiro que você dê uma pesquisada sobre iptables em geral.

    aqui no VOL tem muito material.

    0 0
  • Quote

    • 9. Re: Arquivos de logs [RESOLVIDO]

    pentest
    pentestbox
    (usa Ubuntu)

    Enviado em 30/08/2017 - 15:07h

    raserafim escreveu:

    pentestbox escreveu:

    Como poderia então criar logs utilizando o Iptables? e qual o arquivo de log que ele salva os registros?
    no iptables, basicamente, criando regras com o parâmetro "LOG --log-prefix".

    por exemplo: 
     iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Tracerout [Alert]: "
    
  iptables -A INPUT -p udp --dport 33434:33524 -m limit --limit 2/min -j DROP
    

    
  iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Whois [Alert]: "
    
  iptables -A INPUT -p tcp --dport 43 --syn -m limit --limit 2/min -j DROP
    

    
  iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j LOG --log-prefix "Input-Dropped-Telnet [Alert]: "
    
  iptables -A INPUT -p tcp --dport 23 --syn -m limit --limit 2/min -j DROP

    por padrão os LOG's são salvos em:
    /var/log/syslog


    no entanto, por ser um assunto vasto e com muitas particularidades a depender do cenário de necessidades de cada um, sugiro que você dê uma pesquisada sobre iptables em geral.

    aqui no VOL tem muito material.


    Eu entendo um pouco de iptables, so não conhecia essa função de logs, muito interessante, seria legal se desse pra salvar os logs em um arquivo diferente do syslog, pois ai ficaria mais organizado no sistema.


    0 0
  • Quote

    • 10. Re: Arquivos de logs [RESOLVIDO]

    Fabiano
    fpires
    (usa Debian)

    Enviado em 30/08/2017 - 15:18h

    O iptables trabalha com syslog. Basta configurar seu servidor syslog (muito provevelmente o rssylog) para enviar os logs do iptables para um arquivo distinto.

    0 0
  • Quote

    • 11. Re: Arquivos de logs [RESOLVIDO]

    Rodrigo Albuquerque Serafim
    raserafim
    (usa Slackware)

    Enviado em 15/09/2017 - 15:30h

    no arquivo /etc/syslog.conf você pode acrescentar a seguinte linha para redirecionar os logs do iptables: 
    #Redireciona os logs do iptables
    
kern.warn 					       -/var/log/iptables.log
    no lugar de "iptables.log" pode ser utilizado qualquer nome de arquivo.

    obs: logo quando fiz essa configuração na minha máquina tudo funcionou corretamente! porém, depois de um tempo deixou de funcionar... e não pesquisei por qual motivo..


    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    Pegar a ultima ocorrencia viva (1)

    Pq me aparece isso quando fui atualizar o Ubuntu 24.10 no terminal? (1)

    Erro no cups.file (9)

    como coloco para instalar com esse erro. (13)

    Alguém sabe de documentos de texto e /ou vídeo aulas de certificações ... (1)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: