- Mitglied seit
- 28 Jul 2004
- Beiträge
- 701
- Punkte für Reaktionen
- 0
- Punkte
- 16
Ja konnte ich......
okay da der server nun jede dns anfrage loggt, kann man nun prima an hand der statistiken von opendns sehen welche rechner auf welche gesperrten domains zugreifen.
Angenommen die odns statisktik zeigt an, das sehr oft versucht wird die seite foxclub.de aufzurufen.
hier logge ich mich nun in der console ein und suche in der logdatei query.log
mittels:
nun kann ich mir den user von rechner 145 schnappen und ihn bitten das in zukunft zu unterlassen.
genau so verfahre ich nun auch mit malwaredomains.
so konnte ich bereits einen rechner mit einem unbekannten rootkit finden und das kit eleminieren.
(für mich sind viren unbekannt wenn keine scanengine auf NoVirusThanks darauf anspricht.)
habe übrigens auch den dhcp vom router eleminiert und auf den debian geholt.
dem dhcp server kann man nicht nur sagen verteile ips! sondern auch verklickeren den rechnern, das die IP Adresse des Gateways nicht mit der IP Adresse des DNS Servers übereinstimmt. Total geile sache das hier.
Jetzt warte ich noch auf die deeskalation von cisco. der einzige Haken ist das die leute den ganzen loggingkrempel umgehen können in dem einen anderen dns server statisch einbinden.
So und hierzu brauche ich eben die Firewallregeln des Routers. Die ich leider nicht nutzen kann, weil dann der VPN Verkehr ausgesperrt wird. grummel.
okay da der server nun jede dns anfrage loggt, kann man nun prima an hand der statistiken von opendns sehen welche rechner auf welche gesperrten domains zugreifen.
Angenommen die odns statisktik zeigt an, das sehr oft versucht wird die seite foxclub.de aufzurufen.
hier logge ich mich nun in der console ein und suche in der logdatei query.log
mittels:
Code:
asterisk:/var/log/bind# grep -i www.foxclub.de query.log
15-Feb-2010 13:36:41.376 queries: info: client 192.168.133.145#50868: query: www.foxclub.de IN A +
asterisk:/var/log/bind#nun kann ich mir den user von rechner 145 schnappen und ihn bitten das in zukunft zu unterlassen.
genau so verfahre ich nun auch mit malwaredomains.
so konnte ich bereits einen rechner mit einem unbekannten rootkit finden und das kit eleminieren.
(für mich sind viren unbekannt wenn keine scanengine auf NoVirusThanks darauf anspricht.)
habe übrigens auch den dhcp vom router eleminiert und auf den debian geholt.
dem dhcp server kann man nicht nur sagen verteile ips! sondern auch verklickeren den rechnern, das die IP Adresse des Gateways nicht mit der IP Adresse des DNS Servers übereinstimmt. Total geile sache das hier.
Jetzt warte ich noch auf die deeskalation von cisco. der einzige Haken ist das die leute den ganzen loggingkrempel umgehen können in dem einen anderen dns server statisch einbinden.
So und hierzu brauche ich eben die Firewallregeln des Routers. Die ich leider nicht nutzen kann, weil dann der VPN Verkehr ausgesperrt wird. grummel.
Das Problem sitzt zwar meistens vor dem Computer, aber manchmal sind die Leute nicht unmittelbar schuld, wenn sich unter ihrem Schreibtisch was verselbständigt...
