查核入侵日志:怎样查核遭受入侵系统的日志

on 2009-11-30 in Linux | 0 Comment
  在UNIX系统遭受入侵后确定损失及入侵者攻击源地址相当重要虽然在大多数入侵者懂得使用曾被攻陷计算机作为跳板来攻击你服务器但是他们发动正式攻击前所做目标信息收集工作(试探性扫描)常常是从他们工作计算机开始下面介绍如何从遭受入侵系统日志中分析出入侵者IP并加以确定
  
  1. messages
  
  /var/adm是UNIX日志目录(Linux下则是/var/log)其中有相当多ASCII格式日志文件当然 让我们把焦点首先集中在messages个文件上般也是入侵者所关注文件它记录了来自系统级别信息下面是显示版权或者硬件信息记录信息:
  
  Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx User not known to the underlying authentication module
  
  这是登录失败记录信息: Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)
  
  第步应该是 Kill -HUP cat `/var/run/syslogd.pid`当然有可能入侵者已经做过了
  
  2. wtmputmp logsFTP日志
  
  你可以在/var/adm/var/log/etc目录中找到名为wtmputmp文件这些文件记录着用户是何时、何地远程登陆到主机上在黑客软件Software中有个最老也是最流行zap2(编译后文件名般叫做z2或者叫wipe)也是用来“抹”掉在这两个文件中用户登录信息然而由于懒惰或者网络速度过于缓慢很多入侵者没有上载或编译这个文件管理员可以使用lastlog这个命令来获得入侵者上次连接源地址(当然这个地址有可能是他们个跳板)FTP日志般是/var/log/xferlog该文件详细记录了以FTP 方式上传文件时间、来源、文件名等等不过由于该日志太明显所以稍微高明些入侵者几乎不会使用FTP来传文件他们般使用是RCP
  
  3. sh_history
  
  获得 root 权限后入侵者就可以建立他们自己入侵帐号更高级窍门技巧是给类似 uucplp 等不常使用系统用户名加上密码在遭受入侵后即使入侵者删除了.sh_history 或者.bash_hi-story 这样文件执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中bash命令记录重新写回到磁盘然后可执行find / -name.sh_historypr仔细查看每个可疑 shell 命令日志你可在/usr/spool/lp(lp home dir)/usr/lib/uucp/等目录下找到.sh_history 文件还有可能在其中发现类似 FTP xxx.xxx.xxx.xxx 或者[email protected]:/tmp/backdoor /tmp/backdoor这样能显示出入侵者IP或域名命令
  
  4. HTTP服务器日志
  
  这是确定入侵者真实攻击发源地址最有效思路方法了以最流行Apache服务器为例在$/logs/目录下你可以发现access.log这个文件该文件记载了访问者IP访问时间和请求访问内容在遭受入侵后我们应该可以在该文件中发现类似下面信息: record:xxx.xxx.xxx.xxx[28/Apr/2000:00:29:05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx[28/Apr/2000:00:28:57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404
  
  这表明是来自 IP 为 xxx.xxx.xxx.xxx入侵者在 2000 年 4 月 28 号 0 点 28 分试图访问/msads/Samples/SELECTOR/showcode.asp文件这是在使用web cgi扫描器后遗留下日志大部分web扫描器入侵者常选择离自己最近服务器结合攻击时间和IP我们就可以知道入侵者大量信息
  
  5. 核心dump
  
  个安全稳定守护进程在正常运行时候是不会“dump”出系统核心当入侵者利用远程漏洞攻击时许多服务正在执行个getpeername 因此入侵者IP也保存在内存中
  
  6. 代理服务器日志
  
  代理服务器是大中型企业网常使用来做为内外信息交换个接口它忠实地记录着每个用户所访问
  
  内容当然也包括入侵者访问信息以最常用squid代理为例通常你可以在/usr/local/squid/logs/下找到 access.log 这个庞大日志文件你可以在以下地址获得 squid 日志分析脚本:http://www.squid-cache.org/Doc/Users-Guide/added/st .html 通过对敏感文件访问日志分析可以知道何人在何时访问了这些本该保密内容
  
  7. 路由器日志
  
  默认方式下路由器不会记录任何扫描和登录因此入侵者常用它做跳板来进行攻击如果你企业网被划分为军事区和非军事区添加路由器日志记录将有助于日后追踪入侵者更重要对于管理员
  
  来说这样设置能确定攻击者到底是内贼还是外盗当然你需要额外台服务器来放置router.log文件
  
  注意!
  
  对于入侵者来说在实施攻击整个过程中不和目标机试图建立TCP连接是不太可能这里有许多入侵者主观和客观原因而且在实施攻击中不留下日志也是相当困难
  
  如果我们花上足够时间和精力是可以从大量日志中分析出入侵者信息就入侵者行为心理而言 们在目标机上取得权限越大他们就越倾向于使用保守方式来建立和目标机连接仔细分析早期日志尤其是包含有扫描部分我们能有更大收获
  
  日志审计只是作为入侵后被动防御手段主动是加强自身学习及时升级或更新系统做到有备无患才是最有效防止入侵思路方法
Tags:  查核入侵日志

延伸阅读

最新评论

发表评论