ftp traffic logging?? Netcat, tcpdump???

not yet,
will it be able to dump the traffic?

what i thought of is:
put the infected machine dnatted back on the net,
watch the traffic to this machine, which could show me who is going onto it.

the machine is infected with rootkit and if i put something on the machine itself, i think it might not be safe

If you are using a hub, you can run a packet sniffer like ethereal to capture all data to/from the compromised server. If you are using a switch then you'll need to setup a mirror port and then plug the sniffer into it to trap the data going to/from the compromised server.

you could set up a Man in the Middle PC, and capture everything that moves to and from the comprimised computer.  im a novice hacker, so correct me if i am wrong.

there would be two advantages to this.

1. the connection state info could easily be collected and proxied without really allowing connections to the rooted host.

2. the person that rooted you couldnt deactivate your IDS processes or interfere with the logging functions assuming your MiM is properly configured.

my 2 cents...

[ 03 May 2002: Message edited by: Tmor ]

you could set up a Man in the Middle PC, and capture everything that moves to and from the comprimised computer.  im a novice hacker, so correct me if i am wrong.

there would be two advantages to this.

1. the connection state info could easily be collected and proxied without really allowing connections to the rooted host.

2. the person that rooted you couldnt deactivate your IDS processes or interfere with the logging functions assuming your MiM is properly configured.

my 2 cents...

[ 03 May 2002: Message edited by: Tmor ]

thank you for the ideas ;-)