LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
 Posted: Sat Jun 30, 2007 6:35 am Post subject: SSH Proxy und User |
 |
|
Hallo,
ich musste in letzter Zeit erschreckenderweise feststellen, dass sich der SSH Traffic einer meiner Server vertausendfacht hat. Zuerst habe ich gedacht, dass jemand per SCP Dateien kopiert, aber dann habe ich gesehen, dass der Traffic nicht einseitig ist. Die Peaks, die per SSH rausgehen, kommen immer auf einem anderen Port rein. Deshalb glaube ich auch, dass jemand den SSHD als Proxy benutzt, um damit im Netz permanennt zu surfen. Generell ist es auch erlaubt den SSHD als Proxy zu benutzen, um z.B. auf die Datenbank Server zuzugreifen o.ä. Aber permannent so unterwegs zu sein, geht doch etwas in den Traffic / CPU Last.
Deshalb nun die Frage, ob es irgendwie eine Möglichkeit gibt, wie man herausfinden kann, wer der Schuldige ist. Klar, eine Möglichkeit gibt es immer: Die Firewall schaut nach den Peaks und macht in dieser Zeit eine Aufnahme der eingeloggten User. Am Ende wird es ein Peak über die Anwesenheit eines Users geben und der ist dann der Schuldige. Aber gibt es vll. noch eine andere Möglichkeit, wie man es sofort sehen kann?
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
Deutsches Forum (German)
