Quando uma máquina é invadida, a primeira coisa que o invasor vai querer fazer é apagar os vestígios de que esteve ali removendo as entradas que ficam armazenadas em log. Esse artigo nos mostra uma técnica que irá dificultar a vida dele
Quando uma máquina é invadida, a primeira coisa que o invasor vai
querer fazer é não deixar vestígios de que esteve lá e não permitir
que ninguém perceba a sua presença.
Para isso, ele irá modificar os logs do sistema para remover qualquer
evidência de sua invasão. Para melhorar a confiabilidade dos arquivos
de log aconselha-se o uso de um servidor que apenas coleta os logs
das máquinas da rede. Desta maneira, mesmo que o invasor viole seu
sistema primário (servidor de web por exemplo), ainda vai ter um
outro conjunto de logs que não foram alterados.
Nada impede que ele
também viole o servidor de logs, mas isto irá dificultar a vida dele. :)
[3] Comentário enviado por bogdano em 21/05/2004 - 10:16h
Uma outra forma de 'garantir' que o tal hacker não vai conseguir modificar algum log seria redirecionar as mensagens mais importantes para uma impressora matricial (que faria também um barulhão, servindo também de alarme :), tornando-as 'físicas'.
É um pouco exagerada, mas é efetiva.