主頁(yè) > 知識(shí)庫(kù) > Unix的入侵追蹤

Unix的入侵追蹤

熱門(mén)標(biāo)簽:諾基亞地圖標(biāo)注app 個(gè)人電銷(xiāo)機(jī)器人 江蘇保險(xiǎn)智能外呼系統(tǒng)產(chǎn)品介紹 成都哪里有地圖標(biāo)注公司 西寧人工外呼系統(tǒng)線路商 高德地圖標(biāo)注樓房入駐 北京外呼防封系統(tǒng)是什么 南昌四川外呼系統(tǒng) 咸寧智能營(yíng)銷(xiāo)電話機(jī)器人怎么樣
雖然在大多數(shù)入侵者懂得使用曾被他們攻陷的機(jī)器作為跳板來(lái)攻擊你的服務(wù)器可在他們發(fā)動(dòng)正式攻擊前所做的目標(biāo)信息收集工作(試探性掃描)常常是從他們的工作機(jī)開(kāi)始的,本篇介紹如何從遭受入侵的系統(tǒng)的日志中分析出入侵者的IP并加以確定的。
1.messages
  /var/adm是Unix的日志目錄(Linux下則是/var/log)。有相當(dāng)多的ASCII文本格式的日志保存之下,當(dāng)然 ,讓我們把焦點(diǎn)首先集中在messages 這個(gè)文件,這也是入侵者所關(guān)心的文件,它記錄了來(lái)自系統(tǒng)級(jí)別的信息。在這里,大量的日志記錄對(duì)于我們是無(wú)用的。
  比如:
  Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
  Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000)
  這樣顯示版權(quán)或者硬件信息的記錄而:
  Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
  User not known to the underlying authentication module
  這樣的登錄失敗記錄:
  Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步應(yīng)該是 Kill -HUP cat `/var/run/syslogd.pid`(當(dāng)然,有可能入侵者已經(jīng)幫我們做過(guò)了,;-)那樣我們得不到任何有用信息)
  在下面這個(gè)網(wǎng)址你可以找到大量的日志審計(jì)分析工具或者腳:
  http://www.securityfocus.com/templates/tools_category.html?category=2platform=path=[%20auditing%20][%2-0log%20analysis%20]
2.wtmp,utmp logs,ftp日志
  你能夠在/var/adm,/var/log,/etc目錄中找到名為wtmp,utmp的文件,這記錄著用戶何時(shí),何地telnet上主機(jī), 在黑客中最古老也是最流行的zap2(編譯后的文件名一般叫做z2,或者是叫wipe). 也是用來(lái)抹掉在這兩個(gè)文件中用戶登錄的信息的,然而由于懶惰或者糟糕的網(wǎng)絡(luò)速度(>3秒的echo就令人崩潰,而我經(jīng)常遇見(jiàn)10 倍于此的回顯時(shí)間 ),很多入侵者沒(méi)有上載或編譯這個(gè)文件,管理員所需要就是使用lastlog這個(gè)命令來(lái)獲得入侵者上次連接的源地址( 當(dāng)然,這個(gè)地址有可能是他們的一個(gè)跳板)ftp日志一般是/var/log/xferlog,該文本形式的文件詳細(xì)的記錄了以FTP 方式上傳文件的時(shí)間,來(lái)源,文件名等等。不過(guò)由于該日志太明顯,所以稍微高明些的入侵者幾乎不會(huì)使用該方法來(lái)傳文件。而使用rcp的較普遍些.當(dāng)然你可以# cat /var/log/xferlog grep -v 202.106.147.來(lái)查看那些不應(yīng)該出現(xiàn)的地址。

標(biāo)簽:濮陽(yáng) 中衛(wèi) 長(zhǎng)春 電信 長(zhǎng)春 金華 綏化 清遠(yuǎn)

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Unix的入侵追蹤》,本文關(guān)鍵詞  Unix,的,入侵,追蹤,Unix,的,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Unix的入侵追蹤》相關(guān)的同類(lèi)信息!
  • 本頁(yè)收集關(guān)于Unix的入侵追蹤的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章