怎樣查核遭受入侵系統(tǒng)的日志 (1)

　在UNIX系統(tǒng)遭受入侵后，確定損失及入侵者的攻擊源地址相當(dāng)重要。雖然在大多數(shù)入侵者懂得使用曾被攻陷的計(jì)算機(jī)作為跳板來(lái)攻擊你的服務(wù)器，但是他們發(fā)動(dòng)正式攻擊前所做的目標(biāo)信息收集工作(試探性?huà)呙?常常是從他們的工作計(jì)算機(jī)開(kāi)始的，下面介紹如何從遭受入侵的系統(tǒng)的日志中分析出入侵者的IP并加以確定的。

　　1. messages

　　/var/adm是UNIX的日志目錄(Linux下則是/var/log)。其中有相當(dāng)多ASCII格式的日志文件，當(dāng)然 ，讓我們把焦點(diǎn)首先集中在messages個(gè)文件上，這一般也是入侵者所關(guān)注的文件，它記錄了來(lái)自系統(tǒng)級(jí)別的信息。下面是顯示版權(quán)或者硬件信息的記錄信息：

　　Apr 29 19：06：47 www login[28845]： FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ，User not known to the underlying authentication module

　　這是登錄失敗的記錄信息： Apr 29 22：05：45 game PAM_pwdb[29509]： (login) session opened for user ncx by (uid=0)。

　　第一步應(yīng)該是 Kill -HUP cat `/var/run/syslogd.pid`，當(dāng)然，有可能入侵者已經(jīng)做過(guò)了。

　　2. wtmp，utmp logs，F(xiàn)TP日志

　　你可以在/var/adm，/var/log，/etc目錄中找到名為wtmp，utmp的文件，這些文件記錄著用戶(hù)是何時(shí)、何地遠(yuǎn)程登陸到主機(jī)上的，在黑客軟件中有一個(gè)最老也是最流行的zap2(編譯后的文件名一般叫做z2，或者叫wipe)，也是用來(lái)“抹”掉在這兩個(gè)文件中用戶(hù)登錄的信息的，然而由于懶惰或者網(wǎng)絡(luò)速度過(guò)于緩慢，很多入侵者沒(méi)有上載或編譯這個(gè)文件。管理員可以使用lastlog這個(gè)命令來(lái)獲得入侵者上次連接的源地址(當(dāng)然，這個(gè)地址有可能是他們的一個(gè)跳板)。FTP日志一般是/var/log/xferlog，該文件詳細(xì)的記錄了以FTP 方式上傳文件的時(shí)間、來(lái)源、文件名等等，不過(guò)由于該日志太明顯，所以稍微高明些的入侵者幾乎不會(huì)使用FTP來(lái)傳文件，他們一般使用的是RCP。

　　3. sh_history

　　獲得 root 權(quán)限后，入侵者就可以建立他們自己的入侵帳號(hào)，更高級(jí)的技巧是給類(lèi)似 uucp，lp 等不常使用的系統(tǒng)用戶(hù)名加上密碼。在遭受入侵后，即使入侵者刪除了.sh_history 或者.bash_hi-story 這樣的文件，執(zhí)行kill -HUP `cat /var/run/inetd.conf`即可將保留在內(nèi)存頁(yè)中的bash命令記錄重新寫(xiě)回到磁盤(pán)，然后可執(zhí)行find / -name.sh_historyprint，仔細(xì)查看每個(gè)可疑的 shell 命令日志。你可在/usr/spool/lp(lp home dir)，/usr/lib/uucp/等目錄下找到.sh_history 文件，還有可能在其中發(fā)現(xiàn)類(lèi)似 FTP xxx.xxx.xxx.xxx 或者rcpnobody@xxx.xxx.xxx.xxx：/tmp/backdoor /tmp/backdoor這樣能顯示出入侵者IP或域名的命令。

　　4. HTTP服務(wù)器日志

　　這是確定入侵者的真實(shí)攻擊發(fā)源地址的最有效方法了。以最流行的Apache服務(wù)器為例，在$/logs/目錄下你可以發(fā)現(xiàn)access.log這個(gè)文件，該文件記載了訪問(wèn)者的IP，訪問(wèn)的時(shí)間和請(qǐng)求訪問(wèn)的內(nèi)容。在遭受入侵后，我們應(yīng)該可以在該文件中發(fā)現(xiàn)類(lèi)似下面的信息： record：xxx.xxx.xxx.xxx[28/Apr/2000：00：29：05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx[28/Apr/2000：00：28：57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404

　　這表明是來(lái)自 IP 為 xxx.xxx.xxx.xxx的入侵者在 2000 年 4 月 28 號(hào)的 0 點(diǎn) 28 分試圖訪問(wèn)/msads/Samples/SELECTOR/showcode.asp文件，這是在使用web cgi掃描器后遺留下的日志。大部分的web掃描器的入侵者常選擇離自己最近的服務(wù)器。結(jié)合攻擊時(shí)間和IP，我們就可以知道入侵者的大量信息。

　　5. 核心dump

　　一個(gè)安全穩(wěn)定的守護(hù)進(jìn)程在正常

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話(huà):0371-63322206

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]