怎樣查核遭受入侵系統(tǒng)的日志 (2) |
發(fā)布時間: 2012/8/13 18:53:37 |
行的時候是不會“dump”出系統(tǒng)的核心的,當入侵者利用遠程漏洞攻擊時,許多服務正在執(zhí)行一個getpeername的socket 函數調用,因此入侵者的IP也保存在內存中。 6. 代理服務器日志 代理服務器是大中型企業(yè)網常使用來做為內外信息交換的一個接口,它忠實地記錄著每一個用戶所訪問 的內容,當然也包括入侵者的訪問信息。以最常用的squid代理為例,通常你可以在/usr/local/squid/logs/下找到 access.log 這個龐大的日志文件。你可以在以下地址獲得 squid 的日志分析腳本:http://www.squid-cache.org/Doc/Users-Guide/added/st .html 通過對敏感文件訪問日志的分析,可以知道何人在何時訪問了這些本該保密的內容。 7. 路由器日志 默認方式下路由器不會記錄任何掃描和登錄,因此入侵者常用它做跳板來進行攻擊。如果你的企業(yè)網被劃分為軍事區(qū)和非軍事區(qū)的話,添加路由器的日志記錄將有助于日后追蹤入侵者。更重要的是,對于管理員 來說,這樣的設置能確定攻擊者到底是內賊還是外盜。當然,你需要額外的一臺服務器來放置router.log文件。 注意! 對于入侵者來說,在實施攻擊的整個過程中不與目標機試圖建立TCP連接是不太可能的,這里有許多入侵者主觀和客觀原因,而且在實施攻擊中不留下日志也是相當困難的。 如果我們花上足夠的時間和精力,是可以從大量的日志中分析出入侵者的信息。就入侵者的行為心理而言, 們在目標機上取得的權限越大,他們就越傾向于使用保守的方式來建立與目標機的連接。仔細分析早期的日志,尤其是包含有掃描的部分,我們能有更大的收獲。 日志審計只是作為入侵后的被動防御手段,主動的是加強自身的學習,及時升級或更新系統(tǒng),做到有備無患才是最有效的防止入侵的方法。
本文出自:億恩科技【mszdt.com】 |