|
在UNIX系統(tǒng)遭受入侵后�,確定損失及入侵者的攻擊源地址相當重要�。雖然在大多數(shù)入侵者懂得使用曾被攻陷的計算機作為跳板來攻擊你的服務器,但是他們發(fā)動正式攻擊前所做的目標信息收集工作(試探性掃描)常常是從他們的工作計算機開始的,下面介紹如何從遭受入侵的系統(tǒng)的日志中分析出入侵者的IP并加以確定的���。
1. messages
/var/adm是UNIX的日志目錄(Linux下則是/var/log)。其中有相當多ASCII格式的日志文件��,當然 ��,讓我們把焦點首先集中在messages個文件上�,這一般也是入侵者所關注的文件��,它記錄了來自系統(tǒng)級別的信息�。下面是顯示版權或者硬件信息的記錄信息:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,User not known to the underlying authentication module
這是登錄失敗的記錄信息: Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)�。
第一步應該是 Kill -HUP cat `/var/run/syslogd.pid`,當然�����,有可能入侵者已經(jīng)做過了�����。
2. wtmp,utmp logs�,F(xiàn)TP日志
你可以在/var/adm,/var/log����,/etc目錄中找到名為wtmp,utmp的文件��,這些文件記錄著用戶是何時���、何地遠程登陸到主機上的��,在黑客軟件中有一個最老也是最流行的zap2(編譯后的文件名一般叫做z2��,或者叫wipe)���,也是用來“抹”掉在這兩個文件中用戶登錄的信息的,然而由于懶惰或者網(wǎng)絡速度過于緩慢����,很多入侵者沒有上載或編譯這個文件。管理員可以使用lastlog這個命令來獲得入侵者上次連接的源地址(當然����,這個地址有可能是他們的一個跳板)�。FTP日志一般是/var/log/xferlog���,該文件詳細的記錄了以FTP 方式上傳文件的時間���、來源、文件名等等��,不過由于該日志太明顯�����,所以稍微高明些的入侵者幾乎不會使用FTP來傳文件�����,他們一般使用的是RCP��。
3. sh_history
獲得 root 權限后���,入侵者就可以建立他們自己的入侵帳號,更高級的技巧是給類似 uucp�,lp 等不常使用的系統(tǒng)用戶名加上密碼�。在遭受入侵后�,即使入侵者刪除了.sh_history 或者.bash_hi-story 這樣的文件,執(zhí)行kill -HUP `cat /var/run/inetd.conf`即可將保留在內(nèi)存頁中的bash命令記錄重新寫回到磁盤�,然后可執(zhí)行find / -name.sh_historyprint,仔細查看每個可疑的 shell 命令日志�。你可在/usr/spool/lp(lp home dir),/usr/lib/uucp/等目錄下找到.sh_history 文件����,還有可能在其中發(fā)現(xiàn)類似 FTP xxx.xxx.xxx.xxx 或者rcpnobody@xxx.xxx.xxx.xxx:/tmp/backdoor /tmp/backdoor這樣能顯示出入侵者IP或域名的命令。
4. HTTP服務器日志
這是確定入侵者的真實攻擊發(fā)源地址的最有效方法了���。以最流行的Apache服務器為例��,在$/logs/目錄下你可以發(fā)現(xiàn)access.log這個文件��,該文件記載了訪問者的IP�����,訪問的時間和請求訪問的內(nèi)容�����。在遭受入侵后�,我們應該可以在該文件中發(fā)現(xiàn)類似下面的信息: record:xxx.xxx.xxx.xxx[28/Apr/2000:00:29:05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx[28/Apr/2000:00:28:57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404
這表明是來自 IP 為 xxx.xxx.xxx.xxx的入侵者在 2000 年 4 月 28 號的 0 點 28 分試圖訪問/msads/Samples/SELECTOR/showcode.asp文件,這是在使用web cgi掃描器后遺留下的日志�����。大部分的web掃描器的入侵者常選擇離自己最近的服務器���。結合攻擊時間和IP���,我們就可以知道入侵者的大量信息。
5. 核心dump
一個安全穩(wěn)定的守護進程在正常
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
