Unix的***追踪
转载链接:http://www.fish888.com/Unix-t42629
【标 题】:Unix的***追踪
【关键字】:***,Unix,Unix
【来 源】:网络
Unix的***追踪
在*NIX系统遭受***后,确定损失及***者的***源地址相当重要。虽然在大多数***者懂得使用曾被他们攻陷的机器作为跳板来***你的服务器可在他们发动 正式***前所做的目标信息收集工作(试探性扫描)常常是从他们的工作机开始的,本篇介绍如何从遭受***的系统的日志中分析出***者的IP并加以确定的。
1.messages
/var/adm是UNIX的日志目录(linux下则是/var/log)。有相当多的ASCII文本 格式的日志保存之下,当然 ,让我们把焦点首先集中在messages 这个文件,这也是***者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记录对于我们是无用的。
比如:
Apr 25 21:49:30 2000 unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
Apr 25 21:49:30 2000 unix: mem = 262144K (0x10000000)
这样显示版权或者硬件信息的记录而:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
User not known to the underlying authentication module
这样的登录失败记录:
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能***者已经帮我们做过了,;-)那样我们得不到任何有用信息)
在下面这个网址你可以找到大量的日志审计分析工具或者脚:
http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]
2.wtmp,utmp logs,ftp日志
你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录 着用户何时,何地telnet上主机, 在***中最古老也是最流行的zap2(编译后的文件名一般叫做z2,或者是叫wipe). 也是用来抹掉在这两个文件中用户登录的信息的,然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ),很多***者没有上载或编译这个文件,管理员所需要就是使用lastlog这个命令来获得***者上次连接的源地址( 当然,这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名等等。不过由于该日志太明显,所以稍微高明些的***者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可 以# cat /var/log/xferlog | grep -v 202.106.147.来查看那些不应该出现的地址。
3.sh_history
在获得root 权限后,***者建立了他们自己的***帐号,更高级的技巧是给类似uucp,lp不常使用的系统用户名加上密码。在遭受***后,即使***者删除 了.sh_history或者.bash_hi-story 这样的文件,执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘,然后执行find / -name.sh_historyprint,仔细查看每个可疑的shell命令日志。尤其是当你在/usr/spool/lp(lp home dir),/usr/lib/uucp/(uucp home dir)这样的目录下找了.sh_history文件时。往往***者在需要目标机和工作机传送文件时为了避免被syslog,可能使用从目标机ftp到工 作机的方法,因此在sh_history中你有可能发现类似ftp xxx.xxx.xxx.xxx或者rcpnobody@xxx.xxx.xxx.xxx:/tmp/backdoor /tmp/backdoor这样显示出***者IP或域名的命令。
5.http服务器日志
这很有可能是确定***者的真实***发源地的最有效方法。以最流行的apache服务器为例, 在${prefix}/logs/ 目录下你可以发现access.log这个文件,该文件记载了访问者的IP,访问的时间和请求访问的内容。在遭受***后,我们应该可以在该文件中发现类似 下面的:record:xxx.xxx.xxx.xxx - - [28/Apr/2000:00:29:05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx - - [28/Apr/2000:00:28:57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404 -来自IP为xxx.xxx.xxx.xxx的某人在2000年4月28号的0点28分试图访问/msads/Samples/SELECTOR /showcode.asp文件,这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器都是基于MS操作系统的,而为了更快的速度,使用基于*nix的扫描器的***者常选择离自己最近的服务 器。结合***时间和IP,我们可以知道***者的大量信息。
6.核心dump
这是一种相对较复杂的方法,但是也有效 。一个安全稳定的守护进程在正常运行的时候是不会dump出系统的核心,当***者利用远程漏洞***时,许多服务正在执行一个getpeername的 socket 函数调用(参见socket编程),因此***者的IP也保存在内存中,此时服务overflow ,系统p 内存页文件被dump到core文件,这意味着你可能在一大段杂乱无章的字符中(事实上是一个全局数据库中的进程变量)找到一个包含有执行此 expoloit的IP。BTW: 这段是参考了http://members.tripod.com/mixtersecurity/paper.html后写出的,我做了一个cmsd的 远程***测试,但只在中间找到了***者远程overflow的部分命令,没有找到IP。不过这仍有理由相信Mixter(paper.html的作者)的 话。
7.代理服务器日志
代理是大中型企业网常使用来做为内外信息交换的一个接口,它忠实地记录着每一个用户所访问的内容,当然, 也包括***者的访问内容。以最常用的squid代理为例,通常你可以在/usr/local/squid/logs/下找到access.log 这个庞大的日志文件,当然,由于日志记录添加得很快,在安全事故后应该及时备份它。你可以在以下地址获得squid的日志分析脚 本:http://www.squid-cache.org/Doc/Users-Guide/added/stats.html通过对敏感文件访问日志 的分析,可以知道何人在何时访问了这些本该保密的内容。
8.路由器日志
默认方式下路由器不会记录任何扫描和登录,因此***者常用它做跳板来进行***。如果你的企业网被划分为军 事区和非军事区的话,添加路由器的日志记录将有助于日后追踪***者。更重要的是,对于管理员来说,这样的设置能确定***者到底是内贼还是外盗。当然,你需 要额外的一台服务器来放置router.log文件。
在CISCO路由器上:
router(config)# logging faclity syslog
router(config)# logging trap informational
router(config)# logging [服务器名]
在log server上:
I.在/etc/syslog.conf中加入一行:
*.info /var/log/router.log
II.生成文件日志文件:
touch /var/log/router.log
III.重起syslogd进程:
kill -HUP `cat /var/run/syslogd.pid`
对于***者来说,在实施***的整个过程中不与目标机试图建立tcp连接是不太可能的,这里有许多***者主 观和客观的原因, 而且在实施***中不留下日志也是相当困难的。如果我们花上足够的时间和精力,是可以从大量的日志中分析出我们希望的信息。 就***者的行为心理而言,他们在目标机上取得的权限越大,他们就越倾向于保守的方式来建立与目标机的连接 。仔细分析早期的日志,尤其是包含有扫描的部分,我们能有更大的收获。
日志审计只是作为***后的被动防御手段。主动的是加强自身的学习,及时升级或更新系统。做到有备无患才是最有效的防止***的方法。
转载于:https://blog.51cto.com/tonghuatianshi/385434
Unix的***追踪相关推荐
- Unix操作系统***追踪反击战
阅读提示:在Unix系统遭受***后,确定损失及***者的***源地址相当重要.虽然在大多数***者懂得使用曾 被他们攻陷的机器作为跳板来***你的服务器可在他们发动正式***前所做的目标信息收集工作 ...
- 跨越50年历史河流,带你走进贝尔实验室,一探UNIX起源
自1969年在贝尔实验室的阁楼上诞生以来,Unix操作系统的发展远远超出其创造者们的想象.它带动了许多创新软件的开发,影响了无数程序员,改变了整个计算机技术的发展轨迹. Unix及其衍生产品在特定的技 ...
- 一本珍贵的UNIX简史:长期位居亚马逊UNIX榜单前5的这本书
UNIX传奇:历史与回忆 UNIX传奇:历史与回忆 作者布莱恩.W. 克尼汉(Brian W. Kernighan),全球知名的计算机先驱,普林斯顿大学计算机科学系教授.曾在贝尔实验室工作超过30年, ...
- 计算机网络 -- TCP/IP
画图标准 OSI七层模型 7.应用层 作用:为用户提供软件/接口/界面 interface 协议:OICQ.HTTP.HTTPS.BT/P2P 6.表示层 作用:用于对用户数据进行数据呈现.(数据格式 ...
- Hello, World! 发明者布莱恩·W.克尼汉的传奇人生
"Hello, World!" 这句简单英文,对于大部分计算机行业外的人士来说只是"你好,世界!",而对于计算机行业的人士来说,"Hello, Wor ...
- 【荐读】Hello, World! 发明者布莱恩·W.克尼汉的传奇人生
点击上方"机器学习与生成对抗网络",关注星标 获取有趣.好玩的前沿干货! 注:拉至文末,有送书活动!!! "Hello, World!" 这句简单英文,对于大部 ...
- linux ksh怎么查找僵尸进程,Unix 进程管理
进程管理 如果用户在 UNIX 操作系统上执行了一个程序,那么操作系统会为这个程序创建一个运行它的特定环境.这个环境包含系统运行该程序所需的一切资源,使得好像系统中没有运行其他程序一样. 用户如果在 ...
- PHP性能追踪及分析工具xhprof的安装与使用
PHP性能追踪及分析工具xhprof的安装与使用 对于本地开发环境来说,进行性能分析xdebug是够用了,但如果是线上环境的话,xdebug消耗较大,配置也不够灵活,因此线上环境建议使用xhprof进 ...
- 系统安全防护之UNIX下***检测方法
因为UNIX系统经常承当着关键任务,所以它经常是***者***的首选目标.于是检测***.保护系统安全是管理员的最为重要的任务之一.那么,在没有其它工具帮助的情况下,如何去判断系统当前的安全性?如何去 ...
- linux/unix 段错误捕获【续】
本文为"在C/C++中捕获段错误,打印出错的具体位置"的续篇,进一步解决涉及动态链接库的情况. 背景知识: ·linux/unix下动态链接库的基本原理 ·/proc/pid/ma ...
最新文章
- GROMACS运行参数整理(一)
- 使用reveal.js制作PPT,并部署至GitHub
- 统计学习方法笔记(四)-最大熵模型原理及python实现
- Django09:图书管理系统笔记/choices用法/ MTV与MVC模型/多对多三种创建方式
- spring集成mq_使用Spring Integration Java DSL与Rabbit MQ集成
- C++远航之封装篇——默认构造函数、初始化列表、拷贝构造函数
- 收藏 | 计算机视觉中的自注意力
- ios笔试题算法_iOS 算法面试题(一)
- C++之函数模板探究
- 按键精灵手机助手之实战篇(二)防封
- 《SAFe 4.0参考指南:精益软件与系统工程的规模化敏捷框架》SAFe基础
- OpenCV—播放AVI视频
- arcgis 线段合并
- 数据运营-计算留存率和转化率(漏斗分析Python)
- weblogic修改密码
- C1认证:修改《植物大战僵尸》的文件以及code.org绘图以及bmp画图
- LED背光源商家需满足的基本条件
- mysql指引(十一):innodb基本结构和执行逻辑拆解
- 趣图:六层网络协议的消息传递
- 通过QQ手机和电脑无线传输文件
热门文章
- 苏宁易购工作怎么样_中原万达百货换上“苏宁易购”下一个会是家乐福吗
- php beanstalkd使用,PHP使用Beanstalkd实例详解
- 蓝桥杯2015年第六届C/C++省赛A组第七题-手链样式
- Dart基础第10篇:类 静态成员 操作符 类的继承
- Linux 下面解压.tar.gz 和.gz文件解压的方式
- 7-7 评分规则 (5 分)
- 1011 A+B 和 C (15 分)—PAT (Basic Level) Practice (中文)
- git把当前修改提交合并到上一条提交如何操作
- asp.net编程基础
- Inception V1-V4