怎样审查遭受入侵系统的日志

 在UNIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器,但是他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作计算机开始的,下面介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。

1. messages

/var/adm是UNIX的日志目录(Linux下则是/var/log)。其中有相当多ASCII格式的日志文件,当然 ,让我们把焦点首先集中在messages个文件上,这一般也是入侵者所关注的文件,它记录了来自系统级别的信息。下面是显示版权或者硬件信息的记录信息:

Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,User not known to the underlying authentication module

这是登录失败的记录信息: Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)。

第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`,当然,有可能入侵者已经做过了。

2. wtmp,utmp logs,FTP日志

你可以在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这些文件记录着用户是何时、何地远程登陆到主机上的,在黑客软件中有一个最老也是最流行的zap2(编译后的文件名一般叫做z2,或者叫wipe),也是用来“抹”掉在这两个文件中用户登录的信息的,然而由于懒惰或者网络速度过于缓慢,很多入侵者没有上载或编译这个文件。管理员可以使用lastlog这个命令来获得入侵者上次连接的源地址(当然,这个地址有可能是他们的一个跳板)。FTP日志一般是/var/log/xferlog,该文件详细的记录了以FTP 方式上传文件的时间、来源、文件名等等,不过由于该日志太明显,所以稍微高明些的入侵者几乎不会使用FTP来传文件,他们一般使用的是RCP。

3. sh_history

获得 root 权限后,入侵者就可以建立他们自己的入侵帐号,更高级的技巧是给类似 uucp,lp 等不常使用的系统用户名加上密码。在遭受入侵后,即使入侵者删除了.sh_history 或者.bash_hi-story 这样的文件,执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘,然后可执行find / -name.sh_historyprint,仔细查看每个可疑的 shell 命令日志。你可在/usr/spool/lp(lp home dir),/usr/lib/uucp/等目录下找到.sh_history 文件,还有可能在其中发现类似 FTP xxx.xxx.xxx.xxx 或者rcpnobody@xxx.xxx.xxx.xxx:/tmp/backdoor /tmp/backdoor这样能显示出入侵者IP或域名的命令。

4. HTTP服务器日志

这是确定入侵者的真实攻击发源地址的最有效方法了。以最流行的Apache服务器为例,在${prefix}/logs/目录下你可以发现access.log这个文件,该文件记载了访问者的IP,访问的时间和请求访问的内容。在遭受入侵后,我们应该可以在该文件中发现类似下面的信息: record:xxx.xxx.xxx.xxx[28/Apr/2000:00:29:05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx[28/Apr/2000:00:28:57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404

这表明是来自 IP 为 xxx.xxx.xxx.xxx的入侵者在 2000 年 4 月 28 号的 0 点 28 分试图访问/msads/Samples/SELECTOR/showcode.asp文件,这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器的入侵者常选择离自己最近的服务器。结合攻击时间和IP,我们就可以知道入侵者的大量信息。

5. 核心dump

一个安全稳定的守护进程在正常运行的时候是不会“dump”出系统的核心的,当入侵者利用远程漏洞攻击时,许多服务正在执行一个getpeername的socket 函数调用,因此入侵者的IP也保存在内存中。

6. 代理服务器日志

代理服务器是大中型企业网常使用来做为内外信息交换的一个接口,它忠实地记录着每一个用户所访问

的内容,当然也包括入侵者的访问信息。以最常用的squid代理为例,通常你可以在/usr/local/squid/logs/下找到 access.log 这个庞大的日志文件。你可以在以下地址获得 squid 的日志分析脚本:http://www.squid-cache.org/Doc/Users-Guide/added/st .html 通过对敏感文件访问日志的分析,可以知道何人在何时访问了这些本该保密的内容。

7. 路由器日志

默认方式下路由器不会记录任何扫描和登录,因此入侵者常用它做跳板来进行攻击。如果你的企业网被划分为军事区和非军事区的话,添加路由器的日志记录将有助于日后追踪入侵者。更重要的是,对于管理员

来说,这样的设置能确定攻击者到底是内贼还是外盗。当然,你需要额外的一台服务器来放置router.log文件。

注意!

对于入侵者来说,在实施攻击的整个过程中不与目标机试图建立TCP连接是不太可能的,这里有许多入侵者主观和客观原因,而且在实施攻击中不留下日志也是相当困难的。

如果我们花上足够的时间和精力,是可以从大量的日志中分析出入侵者的信息。就入侵者的行为心理而言, 们在目标机上取得的权限越大,他们就越倾向于使用保守的方式来建立与目标机的连接。仔细分析早期的日志,尤其是包含有扫描的部分,我们能有更大的收获。

日志审计只是作为入侵后的被动防御手段,主动的是加强自身的学习,及时升级或更新系统,做到有备无患才是最有效的防止入侵的方法。

(0)

相关推荐

  • 修改Win7旗舰版系统安全日志的存放路径的方法

    修改Win7系统安全日志的存放路径 具体步骤 1、在win7旗舰版中打开“注册表编辑器”窗口,展开并定位到如下分支: HKEY_LOCAL_MACHINE/System/CurrentControlS ...

  • Win8系统如何查看系统事件日志

    Win8查看系统事件日志的方法如下: 1、按快捷键win+Q打开应用界面,选择控制面板,进入控制面板,点击“系统和安全”。 2、点击“查看事件日志”。 3、进入事件查看器的第二种方法:在桌面“计算机” ...

  • Win7系统输入账号密码提示系统安全日志已满拒绝登录的两种解决方法图文教程

    Win7系统开机进入登录界面,输入帐户名密码进行登录的时候,弹出提示“系统安全日志已满,拒绝登录”,怎么回事呢?这和我们安全日志大小设置有关,有什么好的办法可以解决此问题?可以将其容量设置大一点即可. ...

  • win10系统电脑中怎么查看系统事件日志

    今天,小编给大家分享win10系统电脑中查看系统事件日志的方法,希望对大家有所帮助.具体如下:1.首先,请大家打开电脑,然后按下WIN R组合键,来到如图所示的[运行]页面.2. 第二步,接下来,请在 ...

  • 如何给Win10系统的日志设置写满后自动备份

    今天给大家介绍一下如何给Win10系统的日志设置写满后自动备份的具体操作步骤.1. 首先打开电脑进入桌面,按键盘上的"Win R"组合键,调出"运行"窗口.2. ...

  • 怎么在联想电脑中查看系统事件日志

    我们在使用电脑的时候,想要查看其中的系统事件日志,该怎么操作呢?今天就跟大家介绍一下怎么在联想电脑中查看系统事件日志的具体操作步骤.1. 首先打开电脑,进入桌面,在左下角的开始图标处,右键.2. 在打 ...

  • 如何打开win10系统引导日志功能

    现在大部分电脑都是win10系统,有些用户为了排查问题,想知道如何打开引导日志功能,接下来小编就给大家介绍一下具体的操作步骤.具体如下:1. 首先第一步先右键单击左下角[开始]图标,接着在弹出的菜单栏 ...

  • 如何启动win10系统事件日志服务

    现在大部分电脑都是win10系统,有些新用户不知道如何启动事件日志服务,接下来小编就给大家介绍一下具体的操作步骤.具体如下:1. 首先第一步先右键单击[此电脑]图标,接着在弹出的菜单栏中根据下图箭头所 ...

  • windows系统中如何查看系统的日志

    windows系统中如何查看系统的日志呢?很多人都不会,下面小编来教大家. 操作方法 01 首先,我们点击电脑左下角的微软按钮,弹出的界面,我们下滑中间的界面,找到windows系统,点击打开它,弹出 ...