[Sequanux-ml] monitoring

simon simon.guinot at laposte.net
Mer 30 Mar 15:25:21 CEST 2005


salut

suite au piratage de l'une des machines du "projet aurore" 
(l'association qui heberge physiquement sequanux)...
j'ai developpe deux programmes de monitoring pour linux...
Ils se presentent sous la forme de modules noyaux (version 2.4.? et 
2.6.?). Le premier fabrique un log contenant l'ensemble des 
fichiers/repertoires crees ou detruits. Utile quand quelqu'un commence a 
installer des rootkit a tour de bras sur votre machine... Le second (le 
plus rigolo) permet de monitorer des tty...
En fait il permet de recuperer une copie conforme de n'importe quelle 
console... (locale ou distante)... Ca inclut les frappes de touches en 
temps reel de l'utilisateur...
Je sais pas encore si c'est tres utile... mais c'est vraiment terrible a 
utiliser
Pour fonctionner, ces modules redirigent certains appels systemes. Les 
informations fournies peuvent donc etre consideree comme tres fiables...
C'est d'ailleurs tout l'interet... fournir des infos fiables sur un 
systeme compromis...
Ces programmes sont dispos sur le site de sequanux, rubrique projet et 
pis sim et pis apres c'est facile...
Si jamais qqun les utilise, je suis preneur d'avis ou de corrections ou 
d'insultes ou autres...

simon


Plus d'informations sur la liste de diffusion Sequanux-ml