[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02282] Re: 第2回 ログファイルの改ざん
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02282] Re: 第2回 ログファイルの改ざん
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Fri, 14 Feb 2003 08:51:50 +0900
Port139 伊原です。
夢の中で syslogd が改ざんされたので、単なる独り言。。。
・syslogd が置き換えられるとログを監視してるツールは厳しいね
・samhain で 15分に一度監視しているからそれで検出できるぢゃん?
・でもリアルタイムではないから LKM rootkit で細工は可能なのでは?
・そんな時のための LKM 検出機能のはずだが動くかテストしてないし。。。
・samhain がだめなら chkrootkit はだめって前提だよな
・Snare のログで確認ってのはどうよ?けっこうわかるかも!
・でも Snare のログは syslogd にだしてるぢゃん
・だめだめぢゃん。。。
やっぱだめだめか。。。
--
Port139 セミナー 大阪会場(3月14日)参加者募集中!
http://www.port139.co.jp/seminar/seminar_030314.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/