Надо вычислить с какого IP зашли по RDP на Win-комп в сети.

логи ubuntu

0

1

Доброго времени сутоки.

Ситуация: Офисная сетка. Инет раздается через Ubuntu 10.04, все за NAT-ом В сети есть WinServer 2008. Этот комп виден из инета по RDP.

Кулхацкеры зашли на WinServer 2008 через RDP и поломали его очень сильно - ни логов ни чего не осталось.

Можно ли на Ubuntu 10.04 посмотреть (и где смотреть) с какого IP в определенное время заходили на WinServer 2008?

Сможет ли провайдер предоставить эту информацию?

Ссылка

←	Zabbix в Новосибирске

Samba 4 Release Candidate 3 (RC3)

→

Я думаю, в логах файрволла на убунте должны оставаться данные подключений. Раз уж проброс порта из интернет прямой, то в логах можно найти подлкючения - по комбинации порта и времени взлома. Только, боюсь, они через анонимайзер подключались. Однако, попробуй.

~~alexnorton~~ ★
(23.10.12 13:18:10 MSK)

Ссылка

только если было включено логирование в iptables (-j LOG хотя бы)

Ip0 ★★★★
(23.10.12 13:25:42 MSK)

Ответ на: комментарий от Ip0 23.10.12 13:25:42 MSK

в iptables -j LOG точно нету. =\

INDIGO ★
(23.10.12 15:45:40 MSK) автор топика

Ответ на: комментарий от INDIGO 23.10.12 15:45:40 MSK

Если ничего не логировалось то и логов нет соответственно, значит и смотреть в отсутствующих логах нечего. Попробуй запросить подобную информацию у провайдера.

Ip0 ★★★★
(23.10.12 15:49:00 MSK)
Последнее исправление: Ip0 23.10.12 15:49:30 MSK (всего исправлений: 1)

Ссылка

Если есть примерное время, то можно попробовать у провайдера взять NetFlow. Если у него такая статистика ведется.

~~sergv~~ ★
(23.10.12 15:51:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Zabbix в Новосибирске

Admin

Samba 4 Release Candidate 3 (RC3)

→

Похожие темы