国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 系統 > Unix > 正文

Unix的入侵追蹤

2020-06-13 12:42:20
字體:
來源:轉載
供稿:網友

雖然在大多數入侵者懂得使用曾被他們攻陷的機器作為跳板來攻擊你的服務器可在他們發動正式攻擊前所做的目標信息收集工作(試探性掃描)常常是從他們的工作機開始的,本篇介紹如何從遭受入侵的系統的日志中分析出入侵者的IP并加以確定的。

1.messages

/var/adm是Unix的日志目錄(Linux下則是/var/log)。有相當多的ASCII文本格式的日志保存之下,當然 ,讓我們把焦點首先集中在messages 這個文件,這也是入侵者所關心的文件,它記錄了來自系統級別的信息。在這里,大量的日志記錄對于我們是無用的。

比如:

Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.

Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000)

這樣顯示版權或者硬件信息的記錄而:

Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,

User not known to the underlying authentication module

這樣的登錄失敗記錄:

Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步應該是 Kill -HUP cat `/var/run/syslogd.pid`(當然,有可能入侵者已經幫我們做過了,;-)那樣我們得不到任何有用信息)

在下面這個網址你可以找到大量的日志審計分析工具或者腳:

http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]

2.wtmp,utmp logs,ftp日志

你能夠在/var/adm,/var/log,/etc目錄中找到名為wtmp,utmp的文件,這記錄著用戶何時,何地telnet上主機, 在黑客中最古老也是最流行的zap2(編譯后的文件名一般叫做z2,或者是叫wipe). 也是用來抹掉在這兩個文件中用戶登錄的信息的,然而由于懶惰或者糟糕的網絡速度(>3秒的echo就令人崩潰,而我經常遇見10 倍于此的回顯時間 ),很多入侵者沒有上載或編譯這個文件,管理員所需要就是使用lastlog這個命令來獲得入侵者上次連接的源地址( 當然,這個地址有可能是他們的一個跳板)ftp日志一般是/var/log/xferlog,該文本形式的文件詳細的記錄了以FTP 方式上傳文件的時間,來源,文件名等等。不過由于該日志太明顯,所以稍微高明些的入侵者幾乎不會使用該方法來傳文件。而使用rcp的較普遍些.當然你可以# cat /var/log/xferlog grep -v 202.106.147.來查看那些不應該出現的地址。


發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
主站蜘蛛池模板: 鄱阳县| 察雅县| 衡山县| 庆安县| 行唐县| 集贤县| 沛县| 长岭县| 安泽县| 通化县| 洛浦县| 电白县| 恭城| 襄垣县| 庆元县| 慈溪市| 西城区| 黔东| 和硕县| 仙游县| 洛浦县| 郯城县| 右玉县| 历史| 汪清县| 房山区| 肥东县| 洛隆县| 宕昌县| 漳平市| 普宁市| 额尔古纳市| 临桂县| 绥宁县| 曲水县| 竹溪县| 隆尧县| 奎屯市| 南和县| 饶河县| 榕江县|