Unix操作系统入侵追踪反击战-中国教育和科研计算机网CERNET

　　Apr 29 22：05：45 game PAM_pwdb[29509]： (login) session opened for user ncx by (uid=0)因此第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`(当然，有可能入侵者已经帮我们做过了，;-)那样我们得不到任何有用信息)

　　在下面这个网址你可以找到大量的日志审计分析工具或者脚：

　　http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[ auditing ][%2-0log analysis ]

　　2.wtmp，utmp logs，ftp日志

　　你能够在/var/adm，/var/log，/etc目录中找到名为wtmp，utmp的文件，这记录着用户何时，何地telnet上主机，在黑客中最古老也是最流行的zap2(编译后的文件名一般叫做z2，或者是叫wipe)。也是用来抹掉在这两个文件中用户登录的信息的，然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃，而我经常遇见10 倍于此的回显时间 )，很多入侵者没有上载或编译这个文件，管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址(当然，这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog，该文本形式的文件详细的记录了以FTP 方式上传文件的时间，来源，文件名等等。不过由于该日志太明显，所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些。当然你可以 # cat /var/log/xferlog | grep -v 202.106.147.来查看那些不应该出现的地址。

　　3.sh_history

　　在获得root 权限后，入侵者建立了他们自己的入侵帐号，更高级的技巧是给类似uucp，lp不常使用的系统用户名加上密码。在遭受入侵后，即使入侵者删除了。 sh_history或者。bash_hi-story 这样的文件，执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘，然后执行find / -name.sh_historyprint，仔细查看每个可疑的shell命令日志。尤其是当你在/usr/spool/lp(lp home dir)，/usr/lib/uucp/(uucp home dir)这样的目录下找了。sh_history文件时。往往入侵者在需要目标机和工作机传送文件时为了避免被syslog，可能使用从目标机ftp到工作机的方法，因此在sh_history中你有可能发现类似ftp xxx.xxx.xxx.xxx或者rcpnobody@xxx.xxx.xxx.xxx：/tmp/backdoor /tmp/backdoor这样显示出入侵者IP或域名的命令。

　　4.http服务器日志

　　这很有可能是确定入侵者的真实攻击发源地的最有效方法。以最流行的apache服务器为例，在?$/logs/ 目录下你可以发现access.log这个文件，该文件记载了访问者的IP，访问的时间和请求访问的内容。在遭受入侵后，我们应该可以在该文件中发现类似下面的：record：xxx.xxx.xxx.xxx - - [28/Apr/2000：00：29：05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx - - [28/Apr/2000：00：28：57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404 -来自IP为xxx.xxx.xxx.xxx的某人在2000年4月28号的0点28分试图访问 /msads/Samples/SELECTOR/showcode.asp文件，这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器都是基于MS操作系统的，而为了更快的速度，使用基于Unix的扫描器的入侵者常选择离自己最近的服务器。结合攻击时间和IP，我们可以知道入侵者的大量信息。

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。