Firestarter- Evento sério

Ricardo Ferreira · 20 de Novembro de 2007, 18:52

O que significa quando o Firestarter acusa um " evento sério"?

Como saber que evento foi esse?

Ele bloqueia esse evento? Seria algum tipo de invasão?

csat · 20 de Novembro de 2007, 19:21

Todo alerta de firewall é bom ver. Provavelmente a mensagem foi gravada em algum log. Verifique se tem alguma coisa a esse respeito em:

/var/log/kern.log
/var/log/auth.log

São as pistas iniciais.

Ricardo Ferreira · 20 de Novembro de 2007, 23:02

Tem sim.

A maioria textos imensos em .gz .

Isso tem importância?

A pasta /var armazena o que?

csat · 20 de Novembro de 2007, 23:41

Ricardo

Me parece que o conteúdo da pasta /var é auto-explicativo bastando ler o nome dos arquivos. Vai numa console e digite:

ls -al /var <enter>

Irão aparecer arquivos de log, bibliotecas (Lib), spool, mail, etc. Mais detalhes aí eu teria que procurar em alguma apostila básica de Linux.

Você pode editar os arquivos de log usando o sudo gedit e dentro deles procurar algum registro parecido com aquele que te foi mostrado.

Se não me engano existem ferramentas prontas para análise de log.

Eunir Augusto · 20 de Novembro de 2007, 23:53

Citação de: Ricardo Ferreira online 20 de Novembro de 2007, 23:02

A pasta /var armazena o que?

ela contém a maior parte dos arquivos que são gravados com freqüência pelos programas do sistema, e-mails, spool de impressora, cache, etc.

alem disso, se tu instalar um Servidor LAMP, tanto o teu Cms qto o PhpMyAdmin estarão em /var/www

espero ter ajudado em algo

[ ]s

VB5 · 20 de Novembro de 2007, 23:56

Tente abrir o Firestarter e vá no menu Eventos>Recarregar: pode ser que ele ainda lhe mostre os últimos eventos e você possa localizar esse em particular. Se conseguir, poste o resultado aqui pra gente dar uma olhada...

VB5

Ricardo Ferreira · 21 de Novembro de 2007, 12:14

Recarreguei. Apareceram 33 eventos sérios.

Pessoal, meu tempo é meio curto.
Agradeço muito a ajuda, mas será que isso tem importância mesmo?

O que eu queria entender, dentro da filosofia do Firestater, é o que ele considera evento sério, e como atua partindo daí.
Isto é, quando detecta algo que considera sério, ele bloqueia, protege, põe em quarentena?
Em outras palavras, para que serve o Firestarter para um usuário doméstico, com uma única máquina, como eu?
Valeu.

alarcon · 21 de Novembro de 2007, 12:21

Citação de: Ricardo Ferreira online 21 de Novembro de 2007, 12:14
Recarreguei. Apareceram 33 eventos sérios.

Pessoal, meu tempo é meio curto.
Agradeço muito a ajuda, mas será que isso tem importância mesmo?

O que eu queria entender, dentro da filosofia do Firestater, é o que ele considera evento sério, e como atua partindo daí.
Isto é, quando detecta algo que considera sério, ele bloqueia, protege, põe em quarentena?
Em outras palavras, para que serve o Firestarter para um usuário doméstico, com uma única máquina, como eu?
Valeu.

Bom aqui no meu Firestarter nesta aba Eventos tem o texto: Conexões Bloqueadas acima dos logs de eventos, então é o que ele bloqueou.

Veja este artigo sobre o Firestarter:
http://www.guiadohardware.net/artigos/firestarter/

Ricardo Ferreira · 21 de Novembro de 2007, 13:10

Alarcon, na minha aba Eventos não existe essa opção Conexões Bloqueadas.

alarcon · 21 de Novembro de 2007, 13:47

Citação de: Ricardo Ferreira online 21 de Novembro de 2007, 13:10
Alarcon, na minha aba Eventos não existe essa opção Conexões Bloqueadas.

quando falei em conexões bloqueadas quis dizer exatamente isso que mostra esta imagem:

Veja em Negrito o texto que me referi.

Eunir Augusto · 21 de Novembro de 2007, 14:04

Citação de: alarcon online 21 de Novembro de 2007, 13:47

quando falei em conexões bloqueadas quis dizer exatamente isso que mostra esta imagem:

Veja em Negrito o texto que me referi.

off topic: fui olhar a janela e vi teu tema, muito bonito: qual é ele, amigo alarcon?

obrigado. [ ]s

alarcon · 21 de Novembro de 2007, 14:11

Citação de: Eunir Augusto online 21 de Novembro de 2007, 14:04

off topic: fui olhar a janela e vi teu tema, muito bonito: qual é ele, amigo alarcon?

obrigado. [ ]s

Na verdade é um tema que tenho trazido do Archlinux chamado de nimbus e ele é bem completo, veja:

- Gtk engine
- Gtk theme
- Metacity theme
- Icons

o link do tema:
http://www.gnome-look.org/content/show.php/Nimbus+%28Archlinux%29?content=54893

===Editado===

Se quiser ver outras screenshots deste meu tema veja aqui:
http://ubuntuforum-pt.org/index.php/topic,23125.0.html

Foi feito para o Feisty, mas continuo usando no Gutsy.

Eunir Augusto · 21 de Novembro de 2007, 14:21

continuando off topic: eu uso um muitissimo parecido, veja:

vlw pela dica, e desculpe atrapalhar o raciocinio do topico, amigos

[ ]s

csat · 21 de Novembro de 2007, 16:20

Ricardo

Já foi no Google e pesquisou? Eu fui e rodei a query "firestartarter serious events". Achei um monte de coisas mas o que me chamou a atenção foi uma "thread" do site do Ubuntu, em Ingles, que trata sobre esse assunto. Um dos participantes aponta, inclusive, uma solução.

Ver em:

http://ubuntuforums.org/showthread.php?t=438838

Pronto... viva o Google.

Ricardo Ferreira · 21 de Novembro de 2007, 19:01

Alarcon, localizei a aba. Foi desatenção minha.

A maioria das conexões bloqueadas são essas ( ocorrem muitas vezes):

Porta 68 Origem 10.13.0.1 Protocolo UDP Serviço DHCP
" 10.83.0.1 " "

Uma vez apareceram estas:

Porta 42691 Origem 124.244.88.233 Protocolo UDP Serviço Desconhecido
5800 201.53.165.182 TCP VNC
1433 201.53.152.61 TCP Ms-sql-s

Tudo nesse momento, aberto só o navegador Galeon, no fórum.

Descobri que ele bloqueia o tempo todo!

O que é tudo isso aí em cima??!!

Estarei sendo espionado?