Groups | Search | Server Info | Login | Register
Groups > it.comp.os.linux.ubuntu > #14068
| From | Lem Novantotto <Lem@none.invalid> |
|---|---|
| Newsgroups | it.comp.os.linux.ubuntu |
| Subject | Re: Operazione di copia: da quale log si evincono? |
| Date | 2025-02-17 20:50 +0000 |
| Organization | A noiseless patient Spider |
| Message-ID | <vp07eo$1ad1c$1@dont-email.me> (permalink) |
| References | <vomuf8$3cq05$2@dont-email.me> <von3ar$3dc86$1@dont-email.me> <vop713$3t07o$2@dont-email.me> <vopmbd$3urc0$1@dont-email.me> <voujgg$11aer$1@dont-email.me> |
Il Mon, 17 Feb 2025 07:03:55 +0100, Dardanaus ha scritto:
> Si. Più verosimilmente verso chiavetta o internet.
Intanto installa il necessario:
sudo apt update
sudo apt install auditd audispd-plugins tcpdump
Ho dato un paio di istruzioni a ChatGPT, e lui propone più o meno
questo script. Ho modificato un paio di cose, ma non l'ho provato.
Inserisci il path appropriato nella seconda riga:
DIR_MON="/quello/che/è"
Anche le eventuali subdirectory saranno monitorate.
#!/bin/bash
DIR_MON="/file/riservati"
LOG_DIR="/var/log/monitor"
NETWORK_LOG="$LOG_DIR/network_traffic.$(date +%s).log"
mkdir -p $LOG_DIR
touch $NETWORK_LOG
echo "🔍 Avvio monitoraggio file riservati, USB e rete..."
# 🔹 1. Pulire vecchie regole auditd e aggiungere il monitoraggio della directory riservata (solo lettura)
auditctl -D
auditctl -a always,exit -F dir=$DIR_MON -F perm=r -k lettura_files_riservati
auditctl -a always,exit -S connect -F a0=2 -k connessioni_di_rete
echo "🔹 Monitoraggio lettura attivo per $DIR_MON e subdirectory"
# 🔹 2. Monitorare scritture su dispositivi USB montati dinamicamente
udevadm monitor --subsystem-match=block | while read -r line; do
if echo "$line" | grep -q "add"; then
sleep 1 # Dare il tempo al sistema di montare il dispositivo
for mount in $(lsblk -o MOUNTPOINT,RM | awk '$2 == "1" {print $1}'); do
if ! auditctl -l | grep -q "$mount"; then
auditctl -w $mount -p w -k usb_copy
fi
done
fi
done &
# 🔹 3. Monitorare connessioni di rete sospette
echo "🌐 Avvio monitoraggio rete..."
tcpdump -i any -nn -q -A '(port 21 or port 22 or port 445 or port 2049 or port 873)' > $NETWORK_LOG 2>/dev/null &
# 🔹 4. Monitorare processi che usano comandi per il trasferimento di file
auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/scp -F key=network_upload
auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/rsync -F key=network_upload
auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/wget -F key=network_upload
auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/curl -F key=network_upload
echo "✅ Monitoraggio rete attivo!"
Ok. Salvalo in /usr/local/bin/monitor_usb_network.sh
Poi rendilo eseguibile:
sudo chmod +x /usr/local/bin/monitor_usb_network.sh
Per avviarlo:
sudo /usr/local/bin/monitor_usb_network.sh &
Dopo controlla i log:
sudo ausearch -k lettura_files_riservati
sudo ausearch -k connessioni_di_rete
sudo ausearch -k usb_copy
sudo ausearch -k network_upload
cat /var/log/monitor/network_traffic.log | grep "foto"
Occhio: questo monitoraggio NON sopravvive ai riavvii del computer
(i log restano, ma il monitoraggio si interrompe).
Si può far sì che parta in automatico dopo ogni avvio, però.
--
Bye, Lem
Talis erit dies qualem egeris
Back to it.comp.os.linux.ubuntu | Previous | Next — Previous in thread | Next in thread | Find similar
Operazione di copia: da quale log si evincono? Dardanaus <darad@dlc.nospam> - 2025-02-14 09:22 +0100
Re: Operazione di copia: da quale log si evincono? Lem Novantotto <Lem@none.invalid> - 2025-02-14 09:44 +0000
Re: Operazione di copia: da quale log si evincono? Dardanaus <darad@dlc.nospam> - 2025-02-15 06:00 +0100
Re: Operazione di copia: da quale log si evincono? Lem Novantotto <Lem@none.invalid> - 2025-02-15 09:21 +0000
Re: Operazione di copia: da quale log si evincono? Dardanaus <darad@dlc.nospam> - 2025-02-17 07:03 +0100
Re: Operazione di copia: da quale log si evincono? Tony Borlini <user1527@newsgrouper.org.invalid> - 2025-02-17 07:55 +0000
Re: Operazione di copia: da quale log si evincono? Lem Novantotto <Lem@none.invalid> - 2025-02-17 20:50 +0000
Re: Operazione di copia: da quale log si evincono? Lem Novantotto <Lem@none.invalid> - 2025-02-17 20:52 +0000
Re: Operazione di copia: da quale log si evincono? Lem Novantotto <Lem@none.invalid> - 2025-02-17 20:55 +0000
csiph-web