我以前看过似乎是自动通知的内容:
已经检测到您的域中或您的networking上的机器通过SSH / FTP暴力破解帐户密码的尝试。 附加攻击的主持人和活动的时间/date。 请采取必要的行动立即停止这项活动。 如果您有任何问题,请回复此电子邮件。
Host of attacker: xxxx => xxxx => xxxx Responsible email contacts: [email protected] Attacked hosts in our Network: tttt Logfile entries (time is MET / GMT+1): Tue Nov 14 19:10:23 2017: user: root service: ssh target: ttt source: xxxx 什么样的networking入侵软件被使用或推荐生成这样的通知?
我想在我的networking中实施类似的通知。 它使用蜜jar,还是由ISP给我发送这个通知的内部devise?
所以,这就是所谓的日志分析。 系统日志通常是设备如何传输和存储到中央位置,然后其他软件将读取这些日志,可能与其他事情(如其他日志)相关,然后根据结果采取行动。 但是,这也可以通过各种networking嗅探器来完成 – 水龙头,镜像/ SPAN端口等。syslog并不是传输和存储这些日志的唯一机制。
有商业软件,像这样的东西很容易编码,如果你不需要它们太复杂的话,真的是使用基本的Unix shell脚本。
蜜jar只是意味着某个端口正在监听,但实际上并没有为用户提供有用的服务。 因此在那里发送stream量的任何事情可能至less是监视,并可能是恶意的。 但它可能是一个真正的主机,你一直在扫描,因此不会是一个蜜jar。