怎樣查核遭受入侵系統(tǒng)的日志 (2)

行的時(shí)候是不會(huì)“dump”出系統(tǒng)的核心的，當(dāng)入侵者利用遠(yuǎn)程漏洞攻擊時(shí)，許多服務(wù)正在執(zhí)行一個(gè)getpeername的socket 函數(shù)調(diào)用，因此入侵者的IP也保存在內(nèi)存中。

　　6. 代理服務(wù)器日志

　　代理服務(wù)器是大中型企業(yè)網(wǎng)常使用來做為內(nèi)外信息交換的一個(gè)接口，它忠實(shí)地記錄著每一個(gè)用戶所訪問

　　的內(nèi)容，當(dāng)然也包括入侵者的訪問信息。以最常用的squid代理為例，通常你可以在/usr/local/squid/logs/下找到 access.log 這個(gè)龐大的日志文件。你可以在以下地址獲得 squid 的日志分析腳本：http：//www.squid-cache.org/Doc/Users-Guide/added/st .html 通過對(duì)敏感文件訪問日志的分析，可以知道何人在何時(shí)訪問了這些本該保密的內(nèi)容。

　　7. 路由器日志

　　默認(rèn)方式下路由器不會(huì)記錄任何掃描和登錄，因此入侵者常用它做跳板來進(jìn)行攻擊。如果你的企業(yè)網(wǎng)被劃分為軍事區(qū)和非軍事區(qū)的話，添加路由器的日志記錄將有助于日后追蹤入侵者。更重要的是，對(duì)于管理員

　　來說，這樣的設(shè)置能確定攻擊者到底是內(nèi)賊還是外盜。當(dāng)然，你需要額外的一臺(tái)服務(wù)器來放置router.log文件。

　　注意!

　　對(duì)于入侵者來說，在實(shí)施攻擊的整個(gè)過程中不與目標(biāo)機(jī)試圖建立TCP連接是不太可能的，這里有許多入侵者主觀和客觀原因，而且在實(shí)施攻擊中不留下日志也是相當(dāng)困難的。

　　如果我們花上足夠的時(shí)間和精力，是可以從大量的日志中分析出入侵者的信息。就入侵者的行為心理而言， 們?cè)谀繕?biāo)機(jī)上取得的權(quán)限越大，他們就越傾向于使用保守的方式來建立與目標(biāo)機(jī)的連接。仔細(xì)分析早期的日志，尤其是包含有掃描的部分，我們能有更大的收獲。

　　日志審計(jì)只是作為入侵后的被動(dòng)防御手段，主動(dòng)的是加強(qiáng)自身的學(xué)習(xí)，及時(shí)升級(jí)或更新系統(tǒng)，做到有備無患才是最有效的防止入侵的方法。

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]