home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1666 < prev    next >
Encoding:
Text File  |  1992-11-07  |  2.1 KB  |  46 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!destroyer!cs.ubc.ca!newsserver.sfu.ca!sfu.ca!vanepp
  3. From: vanepp@fraser.sfu.ca (Peter Van Epp)
  4. Subject: Re: Logging outgoing telnet(1) sessions.
  5. Message-ID: <vanepp.721067100@sfu.ca>
  6. Sender: news@sfu.ca
  7. Organization: Simon Fraser University, Burnaby, B.C., Canada
  8. References: <syscrc.721002634@gsusgi1.gsu.edu>
  9. Date: Fri, 6 Nov 1992 16:25:00 GMT
  10. Lines: 34
  11.  
  12. syscrc@pickle.gsu.edu (Randy Carpenter) writes:
  13.  
  14. >Is it possible with standard BSD telnet(1) and syslogd(1m) to create
  15. >a log entry for outgoing telnet sessions.  I know that incoming login(1)
  16. >sessions can be logged but I'm interested in the other way.  Something
  17. >like a...
  18.  
  19. >  Nov  5 17:24:42 pickle telnet[1234]: johnd executed "telnet 131.96.1.6".
  20.  
  21. >This would be helpful while tracing intrusions.
  22.  
  23. >I'm on a SGI (IRIX 4.0) which is System V based and the only way I know of
  24. >telling if another person has telneted out of the system is to dig around
  25. >in the accounting records which is cumbersome and still doesn't tell me
  26. >the outging host.  IRIX has a BSD-type telnet(1) and syslogd(1m).
  27.  
  28. >-- 
  29. >===========================================================================
  30. >Randy Carpenter                    rcarpent@gsu.edu          % Got a light?
  31. >Georgia State University           (404) 651-2648            No match.
  32. >Wells Computer Center                                        %
  33.  
  34. Well, every 30 seconds, I have a perl script that wakes up and does an lsof
  35. (the beta version of which happens to work on SGIs under 4.05), which gives
  36. me all the open sockets on the machine, which it then runs into a filter
  37. script that ignores (or doesn't ignore if I choose) local addresses and then
  38. logs all external incoming and outgoing telnet connections to syslog. There
  39. is a ps in the loop to get an idea of what is being done as well, and absolutly
  40. no comments in the code which is pretty rough (I'm a perl novice). It is
  41. not all that clean yet, and probably still has a bug or 10, but it would give
  42. you a place to start. If you are interested send e-mail.
  43.  
  44. Peter Van Epp / Operations and Technical Support 
  45. Simon Fraser University, Burnaby, B.C. Canada
  46.