Собственно предыстория проблеммы:
Есть Oracle 10g и кол-во рабочих мест около 70. Соответственно и 70 юзеров со своими логинами и пассвордами. Иногда юзвери прыгают с места на место и соответственно за каким бы компом юзер не сидел, он логинится к ораклу со своими личными username/password. Иногда всплывают такие ситуации, когда юзер, пересев за другой комп, запускает прогу, а там в окошке "соединение" уже стоит последний username, с которым логинились. Так вот рассеянный юзер не посмотрев, что написано в поле username долбит свой пароль и получает ошибку, сообщение об ошибке ессесно не читается, и пароль долбится с новым все возрастающим усердием. Как следствие, аккаунт блокируется (ORA-28000) и юзер прибегает ко мне с дикими воплями о том, что он не может войти в программу! Корни проблемы были ясны и все было нормально, до тех пор, пока не оказался заблокированным мой "административный пароль".
Значит кто-то пытался подобрать мой пароль? Пусть так. Как узнать, кто? С какой машины/IP? Детальный анализ логов серверов (/var/log/messages и т.п.) показал, что атак извне не было, тут все четко скорее всего. Да и если бы атаковали, то скорее всего бы натворили чего похуже или попытались бы подобрать пароль к SYSу или SYSTEMу.
Теперь вопрос: где я могу увидеть, в каких логах и т.п. кто пытался коннектиться к ораклу. |
