Someone else responded to me directly (not sure if it was intentional or not to leave the group out), but I responded to that email through my iPhone thinking I was emailing the group with this (may not add much value to the conversation, but FWIW.<div>
<br></div><div>The email to me basically said that the guy wrote some bash scripts to run a checksum on system files every 15 minutes, and sent out alerts if things changed. My 1 bit of "useful" information in this response basically just says CSF does the same thing, although I think writing bash scripts to augment CSF isn't a bad idea:<br>
<div><br></div><div><i><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Thanks, {name removed}, and all the others who responded. This must be a hot</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">topic. Though i graduated a few years ago without any CS classes, I'm</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">actually taking an IT security class at my alma mater, Covenant, and</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">am absolutely loving it.</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><ot></span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Used Wireshark for a lab a couple weeks ago, and then just two days</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">ago, found I needed it + tcpdump at my job, and was able to resolve my</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">issue quickly after that!</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">May be going for my CISSP at some point in the near-ish future...</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"></ot></span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<br><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Anyway, as I mentioned in my last reply, CSF basically does the same</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">thing for me in terms of system files, but writing my own scripts to</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">augment CSF wouldn't be a bad idea.</span></i><br><br><div class="gmail_quote">On Thu, Oct 18, 2012 at 12:23 AM, Lynn Dixon <span dir="ltr"><<a href="mailto:boodaddy@gmail.com" target="_blank">boodaddy@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Somehow I didn't get the original thread but I got this fork.<div>I have noticed an huge increase in brute force attempts on my co-located server.  They have been hitting SSH and Exim.  I am running CSF / LFD on recommendation from Randy and love it, but the attackers appear to be hitting from a huge range of IP's and only a few hits at a time, and then they move to a different IP and attack again.</div>


<div><br></div><div>I have not been hacked, but I don't like all this "negative" brute force traffic.<div><div class="h5"><br><br><div class="gmail_quote">On Wed, Oct 17, 2012 at 11:45 PM, Dave Brockman <span dir="ltr"><<a href="mailto:dave@brockmans.com" target="_blank">dave@brockmans.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<div><br>
On 10/17/2012 11:15 PM, David White wrote:<br>
> To fork the thread, anyone know of any services you can use, and/or<br>
> or scripts you can run to check the public facing code of sites<br>
> and ensure there's nothing malicious?<br>
><br>
> On the internal side of things, I wonder if it would just make<br>
> sense to periodically run an MD5 checksum via cron on each web<br>
> directory in the server(s) and compare that with the good hash<br>
> (stored externally, off the server, of course).<br>
<br>
<br>
</div>tripwire?<br>
<br>
ossec?<br>
<br>
Regards,<br>
<br>
dtb<br>
<br>
<br>
- --<br>
"Some things in life can never be fully appreciated nor<br>
understood unless experienced firsthand. Some things in<br>
networking can never be fully understood by someone who neither<br>
builds commercial networking equipment nor runs an operational<br>
network."  RFC 1925<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with Mozilla - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
iEYEARECAAYFAlB/e08ACgkQABP1RO+tr2RR5gCgiGxILJVoii477BRYGBQhoX0K<br>
n2oAn3vbisLm30UUMMgZLG/TuvXkFxdc<br>
=mhZx<br>
-----END PGP SIGNATURE-----<br>
<div><div>_______________________________________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org" target="_blank">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
</div></div></blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>- David White -</div><div>Smooth Stone Services <i>(soon to be CENTS)</i></div><div><i>Computing, Equipping, Networking, Training & Supporting </i></div>
<div><i>Nonprofit Organizations Worldwide</i><br><br></div><div>Existing Website: <a href="http://www.smoothstoneservices.com/" target="_blank">http://www.smoothstoneservices.com</a></div><div>New Website (coming soon): <a href="http://developCENTS.com" target="_blank">http://developCENTS.com</a></div>
<div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;font-size:10px;text-align:left;line-height:130%"></div><br>
</div></div>