May 12 2006
birisi sunucuya mi girdi? Sanmiyorum ! Yoksa?
Yönetmis oldugunuz sunuculara birileri bir sekilde hackladiginde genelde bunu fakr etmezsiniz.
Sisteminizdeki degisiklikleri kontol etmenin en basit yöntemi /etc /sbin /bin dizinlerinin iceriklerini degisiklik tarihleri ile listesini almakdir. bunun icin su komutu konsolunuza verin..
find /etc /bin /sbin -type f -exec ls -ail {} \; > /root/dizinlistesi_filanci_tarih_2006.txt
Yukaridaki komut kisaca sözü gecen dizinlerdeki tüm dosyalari bulur bunu ls yollar. ls de gizli dosyalarda dahil olmak sarti ile index bilgileri ile tüm bilgileri (>) komutu sayesinde /root/dizinlistesi_filanci_tarih_2006.txt dosyasina yazar.
Artik sunucunuzdaki tüm dosyalar degisiklik tarihleri ile bir listede yazili. süphelendiginiz an. Ayni islemi yaparak baska bir metine ilgili dizinlerin icindeki dosyalarin degisiklik bilgilerini aktarip. diff komutu ile her iki liste arasinda bir farklilik var mi diye kontrol edebilirsiniz.. (tabi bu listeyi /root dizininde birakmayin ssh ile baska biryere tasimaniz mantikli olur)
Buraya kadar hersey yolunda gibi ama degil?
bir cok program vi yada touch gibi dosya degisiklik tarihlerini degistirebiliyor. ve kendi mesrebince yazabiliyor. Böyle bir sorunu bertaraf etmek icin dosyalarimizin md5sumlarini alarak liseleyin. Oda söyleki
find /etc /bin /sbin -type f -exec ls -ail {} \; -exec md5sum {} \; > /root/dizinlistesi_filanci_tarih_2006.txt
Vesselam!
May 12th, 2006 at 4:43 pm
Çok faydalı bir yazı olmuş. Teşekkürler..