From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 22 Aug 2007 17:17:03 +0300 From: Michael Shigorin To: ALT Linux sysadmin discuss Message-ID: <20070822141703.GV8054@osdn.org.ua> Mail-Followup-To: ALT Linux sysadmin discuss References: <200708221713.05205.ashen@nsrz.ru> <46CC3712.8090102@mail.ru> <200708221729.18382.ashen@nsrz.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <200708221729.18382.ashen@nsrz.ru> User-Agent: Mutt/1.4.2.1i Subject: Re: [Sysadmins] osec & DoS X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 22 Aug 2007 14:17:06 -0000 Archived-At: List-Archive: On Wed, Aug 22, 2007 at 05:29:18PM +0400, Алексей Шенцев wrote: > > На эту тему есть большие мануалы. > Угу ... и анекдоты то же ... ;) > > Нужно снять всю текущую информацию, которая может поспособствовать > > расследованию инциндента, вплоть до дампов оперативки > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис так, > что даже на клаву не реагировал. На экране было такое: > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 bla-bla-bla Фотографировать надо. > > и потом уже проверять изменения файлов, загрузившись с > > livecd. Потому что проверка файлов может быть затруднена если > > некоторые программы модифицированы. > Учту на будующее ... > > Проверку стоит начать с rpm -Va. > Это сейчас и выполняю ... При малейших подозрениях тебе светит выдирание/проверка конфигов и построение системы с нуля с их использованием. Более интересно другое -- какой комплект софта у тебя смотрит в сеть? -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/