Unix的入侵追踪

虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的服务器可在他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作机开始的,本篇介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。
1.messages
/var/adm是Unix的日志目录(Linux下则是/var/log)。有相当多的ASCII文本格式的日志保存之下,当然 ,让我们把焦点首先集中在messages 这个文件,这也是入侵者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记录对于我们是无用的。
比如:
Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000)
这样显示版权或者硬件信息的记录而:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
User not known to the underlying authentication module
这样的登录失败记录:
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能入侵者已经帮我们做过了,;-)那样我们得不到任何有用信息)
在下面这个网址你可以找到大量的日志审计分析工具或者脚:
http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]
2.wtmp,utmp logs,ftp日志
你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时,何地telnet上主机, 在黑客中最古老也是最流行的zap2(编译后的文件名一般叫做z2,或者是叫wipe). 也是用来抹掉在这两个文件中用户登录的信息的,然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ),很多入侵者没有上载或编译这个文件,管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址( 当然,这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名等等。不过由于该日志太明显,所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可以# cat /var/log/xferlog grep -v 202.106.147.来查看那些不应该出现的地址。

(0)

相关推荐

  • 操作系统Unix.Windows.Mac OS.Linux的故事

    我们熟知的操作系统大概都是windows系列,近年来Apple的成功,让MacOS也逐渐走进普通用户。在服务器领域,恐怕Linux是无人不知无人不晓。他们都是操作系统,也在自己的领域里独领风骚。这都还 ...

  • 怎样发现黑客入侵对于追踪很重要

    如果当你受到黑客攻击之后,都很想搞清楚自哪里,是什么人在攻击自己,这样我们就可以有针对性的进行黑客的防范工作.那么如何才能作到这一点呢?这就需要我们对黑客进行追踪,并把黑客的老底给"掏&qu ...

  • 怎样审查遭受入侵系统的日志

    在UNIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要.虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器,但是他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他 ...

  • 配置安全的SCO UNIX网络系统

    配置安全的SCO UNIX网络系统 -------------------------------------------------------------------------------- 录 ...

  • 防止黑客入侵你正在使用的Windows操作系统

    当黑客入侵一台主机后,会想方设法保护自己的“劳动成果”,因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是 ...

  • 关于Linux/Unix服务器维护的详细介绍

    Linux/Unix服务器维护 1、Unix服务器维护(服务器由我们全权维护,也是对您来说最放心的服务)Unix服务器安全配置,WEB服务器环境配置,其它应用程序安装配置,网站安全检测和清马,杀毒软件 ...

  • 电脑.手机都断网了,还会被黑客入侵吗

    无论是电脑.智能手机.或者是其他的可联网设备,只要连了网络,就意味着已经暴露在安全威胁之中了.尤其是最近几年,间谍技术和各类间谍工具发展迅速,导致黑客组织.情报机构窃取情报的效率越来越高. 现在问题来 ...

  • 谨防黑客入侵电脑的13种手法

    黑客都是使用哪些方法入侵我们电脑的?想必很多菜鸟都想知道,其实黑客入侵的手法包括:(1)瞒天过海 (2)趁火打劫 (3)无中生有 (4)暗渡陈仓 (5)舌里藏刀 (6)顺手牵羊 (7)供尸还魂 (8) ...

  • 防止黑客入侵系统建立隐藏帐户

    面对黑客在自已的电脑中建立一个隐藏的账户,用户应该怎么办?虽然账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在.其实只要用户细心观察做到以下几点,即能发现其中的奥妙. 把" ...