Efter invasionen i UNIX-system til at bestemme tabet og den indtrængende angriber kildeadresse er meget vigtigt. Selv om de fleste af de ubudne gæster har kompromitteret computere ved hvordan man bruger som et springbræt til at angribe din server, men de gjorde lancere en officiel før angrebene målrette informationen indsamling (sonderende scan) ofte starte fra deres arbejde computere, således beskriver, hvordan systemet fra indtrængen af indbruds kævler i undersøgelsesperioden og der skal fastlægges.
1. Beskeder
/ Var / adm er logmappen UNIX (Linux er under / var / log). ASCII format, som en masse log-filer, selvfølgelig, lad os koncentrere os først og fremmest koncentreret i de beskeder filer, er dette generelt bekymret over ubudne gæster fil, det registrerer oplysningerne fra systemet niveau. Følgende oplysninger er at vise de poster af ophavsretten eller hardware information:
April 29 19:06:47 www login [28845]: FAILED LOGIN 1 FRA xxx.xxx.xxx.xxx, Bruger ikke kendt til de underliggende authentication modul
Dette er en login fejl registrere oplysninger: 29 april 22:05:45 vildt PAM_pwdb [29509]: (login) session åbnede for brugeren ncx af (uid = 0).
Det første skridt bør være at Kill-HUP cat `/ var / run / syslogd.pid«, naturligvis kan der være ubudne gæster allerede var blevet udført.
2. Wtmp, utmp logs, FTP log
Du kan / var / adm / var / log, / etc til at finde navngivne wtmp, utmp fil, disse filer, når brugeren er registreret, og hvor fjern-login til værten, den hacker software, der er en de ældste og mest populære zap2 (udarbejdet filnavnet normalt kaldes Z2, eller såkaldte tørre), der bruges til at "udslette" i disse to filer brugeren login-oplysninger, men fordi netværket hastigheden er for doven eller langsom, Mange hackere ikke uploade eller kompilere denne fil. Administratorer kan bruge lastlog kommando til at få ubuden gæst at oprette forbindelse til kilden adresse de sidste (selvfølgelig, kan denne adresse som en af deres springbræt). FTP log er normalt / var / log / xferlog, en detaljeret opgørelse over de fil-tilstand til at uploade filer til FTP tiden, kildefilen navn osv., men fordi log er for indlysende, så en lidt mere sofistikeret ubudne gæster sjældent bruge FTP til at overføre filer, de normalt bruger RCP.
3. Sh_history
Hent root privilegier, kan en uvedkommende bygge deres egen invasion af kontoen er for mere avancerede færdigheder som uucp, lp, etc. ikke bruge systemet brugernavn plus password. Efter invasionen, selv om en ubuden gæst fjernet. Sh_history eller. Bash_hi-historien dette dokument, gennemførelsen af kill-HUP `cat / var / run / inetd.conf« kan bevares i hukommelsen side i bash kommandoen til at omskrive records tilbage til disk, så den eksekverbare find /-name.sh_historyprint, omhyggeligt vist alle mistænkelige skalkommando log. Du kan / usr / spool / lp (lp hjem dir) / usr / lib / uucp / andre til at finde. Sh_history fil, kan der findes i der findes lignende FTP xxx.xxx.xxx.xxx eller rcpnobody @ xxx. xxx.xxx.xxx: / tmp / bagdør / tmp / bagdør måde at vise ubuden gæst IP eller domænenavn ordrer.
4. HTTP server logs
Dette er for at afgøre den reelle ubuden gæst angreb oprindelse adresse af de mest effektive metoder. De mest populære Apache server, for eksempel i $ (prefix) / logs / access.log bibliotek kan du finde denne fil, som registrerer de besøgende IP, adgang tid og anmode om adgang til indholdet. Efter invasionen, skal vi være i stand til at finde lignende dokumenter på følgende oplysninger: helhed: xxx.xxx.xxx.xxx [28/Apr/2000: 00:29:05 -0800] "GET / cgi-bin / rguest.exe "404-xxx.xxx.xxx.xxx [28/Apr/2000: 00:28:57 -0800]" GET / msads / prøver / SELECTOR / showcode.asp "404
Dette indikerer, at IP er xxx.xxx.xxx.xxx fra ubudne gæster i de April 28, 2000 at 0:28 forsøger at få adgang / msads / prøver / SELECTOR / showcode.asp fil, der er scannet via internettet cgi enhed i kølvandet på loggen. De fleste ubudne gæster vælger ofte web scanner nærmeste server. Kombination af angreb tid og IP, kan vi kender en masse information angribere.
5. Core dump
En sikker dæmon er i den normale drift af den tid, vil ikke "dump" ud af systemet med Han Xin's, Dang angribere Li Yong fjernbetjening sårbarhed angreb klokken Xuduo service Zhengzaizhixing en getpeername stikket funktionskaldet, så uvedkommende IP Ye Gem i hukommelsen.
6. Proxy server log
Proxy server er et netværk af store og mellemstore virksomheder ofte bruge en metode til udveksling af oplysninger inden for og uden for en grænseflade, det er en trofast referat af hver enkelt bruger adgang
Indhold, herunder naturligvis indbruds adgang til oplysninger. De mest almindelige blæksprutte proxy, for eksempel, ofte kan du / usr / local / squid / logs / access.log findes under dette enorme logfil. Du kan få blæksprutte på følgende adresse loganalyse script: http://www.squid-cache.org/Doc/Users-Guide/added/st. Html fil adgang log gennem sensitiv analyse af, hvordan mennesker kan vide, hvornår besøgte fortrolighed af indholdet af disse.
7. Routere log
Default vil routeren ikke optage nogen scanning og log, så uvedkommende bruges som et springbræt til at angribe den. Hvis din virksomhed Nettet er opdelt i militære zoner og den demilitariserede zone, derefter tilføje routerens log optegnelser ville hjælpe i fremtiden at spore ubuden gæst. Hvad vigtigere er, administratoren
For sådan et sæt kan identificere angriberen i slutningen er inden for eller uden for Pirates of the tyvene. Selvfølgelig har du brug for yderligere router.log en server for at placere filer.
Pas på!
For ubuden gæst, har i hele processen for angreb og mål maskinen ikke forsøge at etablere TCP-forbindelsen er ikke muligt, er der mange subjektive og objektive grunde til angriberne, og angreb i gennemførelsen af log er ikke meget vanskeligt at forlade .
Hvis vi bruger nok tid og energi, kan det logge ind fra en lang række af indbruds's oplysninger. Med hensyn til den psykologiske adfærd indbruds, som opnåede målet maskinen større autoritet regel, hvis de bruger mere konservativ måde at opbygge forbindelser med målet. Omhyggelig analyse af de tidlige log, især den del, der indeholder en scanning, kan vi have en større høst.
Log revision kun som et passivt middel til at forsvare sig efter invasionen, initiativet er at forbedre deres egen læring, tid til at opgradere eller opdatere systemet, tilberedt og mest effektive måde at forhindre invasionen.