雖然在大多數入侵者懂得使用曾被他們攻陷的機器作為跳板來攻擊你的服務器可在他們發動正式攻擊前所做的目標信息收集工作(試探性掃描)常常是從他們的工作機開始的,本篇介紹如何從遭受入侵的系統的日志中分析出入侵者的IP並加以確定的。
1.messages
/var/adm是Unix的日志目錄(Linux下則是/var/log)。有相當多的ASCII文本格式的日志保存之下,當然 ,讓我們把焦點首先集中在messages 這個文件,這也是入侵者所關心的文件,它記錄了來自系統級別的信息。在這裡,大量的日志記錄對於我們是無用的。
比如:
Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000)
這樣顯示版權或者硬件信息的記錄而:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
User not known to the underlying authentication module
這樣的登錄失敗記錄:
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步應該是 Kill -HUP cat `/var/run/syslogd.pid`(當然,有可能入侵者已經幫我們做過了,;-)那樣我們得不到任何有用信息)
在下面這個網址你可以找到大量的日志審計分析工具或者腳:
http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]
2.wtmp,utmp logs,ftp日志
你能夠在/var/adm,/var/log,/etc目錄中找到名為wtmp,utmp的文件,這記錄著用戶何時,何地telnet上主機, 在黑客中最古老也是最流行的zap2(編譯後的文件名一般叫做z2,或者是叫wipe). 也是用來抹掉在這兩個文件中用戶登錄的信息的,然而由於懶惰或者糟糕的網絡速度(>3秒的echo就令人崩潰,而我經常遇見10 倍於此的回顯時間 ),很多入侵者沒有上載或編譯這個文件,管理員所需要就是使用lastlog這個命令來獲得入侵者上次連接的源地址( 當然,這個地址有可能是他們的一個跳板)ftp日志一般是/var/log/xferlog,該文本形式的文件詳細的記錄了以FTP 方式上傳文件的時間,來源,文件名等等。不過由於該日志太明顯,所以稍微高明些的入侵者幾乎不會使用該方法來傳文件。而使用rcp的較普遍些.當然你可以# cat /var/log/xferlog grep -v 202.106.147.來查看那些不應該出現的地址。
