linux user group brescia
immagine del castello

Archivio della mailing list

Curiosita` varie: 03 - Vedere quel che fanno gli altri

marcoghidinelli marcogh a atdot.org
Dom 25 Feb 2001 14:28:50 UTC 
On Sat, Feb 24, 2001 at 01:28:32PM +0100, Luca Coianiz wrote:
> 
> 
>     Ciao Luca,
> 
> ----- Original Message -----
> From: Luca Giuzzi <giuzzi a dmf.bs.unicatt.it>
> >> P.S.: E` cmq vero che e` quasi impossibile (o cmq molto, ma molto
> >>      difficile) tracciare quel che sta facendo un utente,  o  me
> >>      lo sono sognato?
> > Per root e' possibile farlo (a meno che il kernel non sia stato
> >  modificato in modo opportuno... esistono degli scenari anche
> >  legittimi in cui si vuole che root NON possa fare questo...
> >  pensa ad esempio ai computers che tengono informazioni sui pazienti
> >  in un ospedale): ha accesso a tutta la memoria del sistema e
> >  il codice eseguito non viene criptato [suggerimento per i paranoici ;) ].
> >  Quello che puo' richiedere un poco di sforzo e'
> >  riuscire ad organizzare alcuni dati in modo tale da essere facilmente
> >  fruibili, ma e' un problema relativamente marginale.
> 
>  Domanda: esiste un comando/utility/qualcosaltro che ti permette di entrare
> in "browse" sul flusso di dati che scorre in una tty ?

se ho ben capito quello che chiedi, le cose le puoi fare in due modi:
ci sono utility che ti permettono di vedere quello che fa una persona su
un terminale testuale (ttysnoop) e utility che permettono di vedere quello
che fa una persona quando c'e' x caricato (xtv o qualcosa del genere..)

[...vedi sotto...]

>  Non sò... mi viene in mente una specie di "splitter" logico (o sniffer, che
> dir si voglia) da lanciare sulla macchina locale che riproduca su una mia
> console quello che sta facendo "root" (il cracker) sulla sua connessione
> Telnet/FTP/cheneso individuata tramite ps.

il secondo modo e' appunto sniffando in rete i pacchetti che passano.
uno sniffer 'fenomenale' sotto linux e' l'ethereal... 
prova a caricarlo e poi  a fare una sessione di telnet..
a quel punto seleziona uno dei pacchetti telnet che sono passati e seleziona
'follow tcp stream'...
a quel punto puoi vedere tutto quello che passa in rete relativamente alla 
sessione telnet, con password e comandi tutti in chiaro.


-- 
BOFH excuse #265:

The mouse escaped.

Maggiori informazioni sulla lista Lug