Am Montag, 12. November 2001 00:35 schrieb Christian Schult:
a) Du benutzt nmap um irgendwo Ports zu scannen und möchtest davon ein Log haben. b) Dein Rechner wird gescannt und du möchtest davon einen Log haben.
b) ist das, was mich interessiert. Hintergrund: in dem Rack, in dem mein Cobalt untergebracht zu sein scheint, wurden innerhalb von 15 min zwei virtuelle Server auf zwei Maschinen defaced. Nun würde mich interessieren, ob dies ein reiner Zufall war, oder ein systematischer Scan vorherging.
Für b: Der Paketfilter (Firewall) des Kernels kann loggen oder nimm scanlogd (http://www.openwall.com/scanlogd/). scanlogd gibt's standardmässig nicht, ich werd's aber mal vorsichtig compilieren und einbinden.
Ein Portscan auf deinen Rechner sollte aber nicht als böswilliger Akt bewertet werden, ein Portscan ist noch lange kein Einbruchversuch. ACK
Hagen