आप इस तरह की चीजों के लिए ऑडिट ढांचे का उपयोग कर सकते हैं। वे बहुत "उपयोगकर्ता के अनुकूल" या सहज नहीं हैं, इसलिए आपके हिस्से के चारों ओर थोड़ी खुदाई करने की आवश्यकता है।
पहले सुनिश्चित करें कि आपके पास ऑडिट स्थापित है, चल रहा है और यह कि आपका कर्नेल इसका समर्थन करता है।
उबंटू के लिए आप इसे apt-get install auditd
उदाहरण के लिए स्थापित कर सकते हैं ।
फिर आप connect
इस तरह सभी syscalls की निगरानी के लिए ऑडिट के लिए एक नीति जोड़ें :
auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT
यदि आप लिनक्स की 32-बिट स्थापना का उपयोग कर रहे हैं, तो आपको b64 से b32 में बदलना होगा।
यह कमांड ऑडिट फ्रेमवर्क में एक पॉलिसी डालेगी, और किसी भी कनेक्ट () syscalls को अब आपके ऑडिट लॉगफाइल्स (आमतौर पर /var/log/audit/audit.log
) पर लॉग इन करने के लिए देखा जाएगा।
उदाहरण के लिए, netcat के साथ news.ycombinator.com पोर्ट 80 का कनेक्शन कुछ इस तरह से होगा:
type=SYSCALL msg=audit(1326872512.453:12752): arch=c000003e syscall=42 success=no exit=-115 a0=3 a1=24e8fa0 a2=10 a3=7fff07a44cd0 items=0 ppid=5675 pid=7270 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=4294967295 comm="nc" exe="/bin/nc.openbsd" key="MYCONNECT"
type=SOCKADDR msg=audit(1326872512.453:12752): saddr=02000050AE84E16A0000000000000000
यहां आप देख सकते हैं कि /bin/nc.openbsd एप्लिकेशन ने एक कनेक्ट () कॉल शुरू की है, यदि आपको बहुत सारे कनेक्ट कॉल मिलते हैं और केवल एक निश्चित आईपी या पोर्ट को प्राप्त करना चाहते हैं तो आपको कुछ रूपांतरण करना होगा। सोकैडीडीआर लाइन में एक दुखद तर्क है, यह 0200 से शुरू होता है, इसके बाद हेक्साडेसिमल (0050) में पोर्ट संख्या होती है जिसका अर्थ है 80, और फिर हेक्स में आईपी (AE84E16A) जो कि news.bbinbin.com.com का IP 174.132.225.106 है।
ऑडिट फ्रेमवर्क बहुत सारे लॉग उत्पन्न कर सकता है , इसलिए अपने मिशन को पूरा करने के बाद इसे अक्षम करना याद रखें। उपर्युक्त नीति को निष्क्रिय करने के लिए, बस -a को -d से इस तरह बदलें:
auditctl -d exit,always -F arch=b64 -S connect -k MYCONNECT
ऑडिट ढांचे पर अच्छा प्रलेखन:
http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/part.audit.html
Http://www.xoth.net/services/iplocate.pp पर: IP को हेक्स, डिक, बाइनरी, आदि से / में परिवर्तित करें
।
सामान्य हेक्स / डिक कनवर्टर:
http://www.statman.info/conversions/hexadecimal.html
आईटी सिक्योरिटी स्टाॅक एक्सचेंज से ऑडिट का संक्षिप्त परिचय।
http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/
1 संपादित करें :
एक और क्विक'निथ तीस (सिन: फुलहैक) तरीका यह है कि आप एक तेज लूप बनाएं जो आपके लिए इस तरह से कनेक्शन डेटा को डंप करता है:
while true;do
ss -ntap -o state established '( dport = :80 )'
sleep 1
done
यह आदेश ss
वर्तमान स्थापित कनेक्शनों को पोर्ट करने के लिए कमांड (सॉकेट आँकड़े) का उपयोग करता है, जिसमें यह प्रक्रिया शुरू की गई थी। अगर इसका बहुत सारा डेटा आप | tee /tmp/output
दोनों के बाद जोड़ सकते हैं तो स्क्रीन पर आउटपुट को दिखाने के साथ ही इसे बाद में प्रोसेसिंग / खुदाई के लिए / tmp / आउटपुट पर लिखें। यदि यह त्वरित हाइप्रोक्सी कनेक्शन को नहीं पकड़ता है, तो कृपया हटाने की कोशिश करें sleep 1
लेकिन व्यापक लॉगिंग से सावधान रहें यदि इसकी भारी उपयोग की गई मशीन है। आवश्यकतानुसार संशोधित करें!