Preguntas con etiqueta 'log-analysis'

preguntas con etiqueta
1
respuesta

¿Por qué recibo HTTP GET para un dominio que no tengo?

Estoy ejecutando un servidor web Centos7 . Noté algunas solicitudes de HTTP GET extrañas como estas: 94.185.83.100 - - [29/Feb/2016:23:29:00 +0530] "GET http://testp1.piwo.pila.pl/testproxy.php HTTP/1.1" 404 390 "-" "Mozilla/5.0 (...
hecha 04.03.2016 - 12:27
2
respuestas

Registro de registro extraño de researchscan1.eecs.berkeley.edu (169.229.3.91): ¿es esto un intento de hackeo?

Estaba buscando en mi registro ufw cuando encontré esta línea: 169.229.3.91 - - [19/Feb/2016:13:21:52 +0100] "\xCEA\x81\xCF\x02\x03\xFCAm\xB8\xBF]1\xBE~0^\xCD\xA9\x05(\x8D'\xD9\x9D\x9D\x9C\x15m" 400 166 "-" "-" ¿Esto es un intento de pirate...
hecha 19.02.2016 - 17:01
1
respuesta

¿Qué exploits ssh funciona cambiando el nombre de usuario en medio del proceso?

Cada pocas horas, obtengo algunas de esas en los registros de mi servidor: sshd[...]: Disconnecting: Change of username or service not allowed: (httpd,ssh-connection) -> (http,ssh-connection) [preauth] sshd[...]: Disconnecting: Change of us...
hecha 23.04.2016 - 15:20
2
respuestas

El perro guardián del terrorismo del Reino Unido dice que esto es muy difícil en la práctica, ¿verdad?

Vi esta cita hoy en The Guardian    David Anderson QC, el regulador de la legislación del terrorismo encargado de   informe sobre las leyes de vigilancia del estado de Gran Bretaña después de   Las declaraciones de Snowden, ha dicho previam...
hecha 04.11.2015 - 05:45
2
respuestas

Registro de todos los procesos que se ejecutan en una computadora

Soy nuevo en el dominio de seguridad y quiero preguntar: ¿Todos los programas dejan una "impresión" en un registro de algún tipo, en una computadora portátil o una PC, de cualquier proceso que se ejecutó? En caso afirmativo, ¿pueden ser analizad...
hecha 04.09.2015 - 00:21
2
respuestas

¿Cómo puedo leer los registros de snort en modo NIDS?

Estoy leyendo algunos registros de snort de un firewall, podría leer algunos con "snort -r file" Pero cuando probé los registros más recientes, obtengo este error:    snort -r snort.log       Ejecutando en modo volcado de paquetes --...
hecha 05.09.2016 - 17:33
0
respuestas

Obtención de grandes conjuntos de datos para investigación: MySQL, PHP, Apache, etc.

He estado buscando en la web conjuntos de datos de gran tamaño (específicamente archivos de registro relacionados con la web: MySQL, PHP, Apache, etc.) que contienen datos de intentos de intrusiones / exploits. Estoy haciendo una investigación s...
hecha 22.07.2015 - 17:34
2
respuestas

Expresiones regulares para explotaciones comunes

Le puse un parche para el Shellshock y unos días más tarde fui asaltado. Sin embargo, no habría sabido que se hubieran hecho intentos si no fuera por una expresión regular que encontré en Internet. Esto me ha inspirado a profundizar en mis regis...
hecha 10.11.2014 - 06:14
2
respuestas

¿Cómo encontrar quién le otorgó privilegios de administrador local a un usuario?

Un amigo mío trabaja en una organización y un buen día se dio cuenta de que tiene acceso de administrador local en su máquina. Me juró que inicialmente no tenía el privilegio y que necesitaba presentar solicitudes para instalar cualquier softwar...
hecha 26.01.2017 - 19:24
1
respuesta

¿Cómo detectar cambios de dirección IP y agente de usuario en una sesión HTTP?

Tengo algunos registros HTTP donde veo al hacker cambiando su IP cada solicitud y ocasionalmente cambiando su agente de usuario. ¿Hay una manera de detectar esto automáticamente? Tal vez una regla de resoplido? o de otra manera?     
hecha 29.05.2015 - 16:27