Próby zalogowania się na kontach

Próby zalogowania się na kontach

żądania przesłania plików TFTP albo map NIS kogoś podającego polecenie debug twojemu serwerowi SMTP pakiety wysiane do tych samych portów pod każdy adres IP z twojego zakresu.

Do poniższych zdarzeń powinieneś przywiązywać większą wagę być może są symptomem ataku: wiele nieudanych prób zalogowania się na ważnych kontach w twoich komputerach, zwłaszcza na kontach, które są używane z Internetu, albo próby zalogowania się na kontach w takiej kolejności, w jakiej występują w pliku haseł

niezwykłe zaakceptowane pakiety albo polecenia, których celu nie rozumiesz pakiety wysyłane do każdego portu w pewnym zakresie udane logowania z nieoczekiwanych sieci

nagłe zwiększenie ruchu przychodzącego lub wychodzącego. Możesz podejrzewać udane włamanie, jeśli zauważysz: Usunięte lub zmodyfikowane pliki dziennika. Programy, które przestają zwracać oczekiwane informacje (sugeruje to, że zostały zastąpione przez wersje, które ignorują programy i pliki napastnika). W maszynach uniksowych najczęściej padają ofiarą programy login, Is, ps, netstat oraz ifconfig.

Nowe pliki dziennika zawierające hasła lub przechwycone pakiety, których pochodzenia nie możesz wyjaśnić. Katalogi zawierające więcej wpisów administracyjnych, niż powinny. Na przykład w komputerach uniksowych katalogi powinny zawierać dwa wpisy o nazwach utworzonych z kropek oraz oznaczające „ten katalog” i „katalog nadrzędny”), ale nie więcej niż dwa takie wpisy (na przykład „…” lub „.. „). Jeśli wygląda na to, że któryś z tych wpisów jest powielony, prawdopodobnie dodatkowy wpis zawiera w nazwie spacje i służy do tego, aby ukryć plik lub katalog przed powierzchowną obserwacją.

Nieoczekiwane logowanie się uprzywilejowanych użytkowników (na przykład roota) albo użytkowników, którzy nagle stają się użytkownikami uprzywilejowanymi.

about author

admin

related articles