Nach der Invasion in der UNIX-System, um den Verlust zu bestimmen und den Eindringling greift die Quell-Adresse ist sehr wichtig. Obwohl die meisten Eindringlinge Computer kompromittiert haben Know-how als Sprungbrett für Angriffe auf Ihren Server zu verwenden, aber sie haben eine offizielle Markteinführung vor den Anschlägen Ziel Sammlung von Informationen (explorative scan) oft von ihren Computern arbeiten, starten Sie die folgenden beschreibt, wie das System von dem Eindringen der Einbrecher in die Protokolle IP und bestimmt werden.
1. Messages
/ Var / adm ist das Log-Verzeichnis UNIX (Linux wird unter / var / log). ASCII-Format, in denen eine erhebliche Anzahl von Log-Dateien, natürlich, konzentrieren wir uns zunächst auf die Nachrichten-Dateien, die in der Regel über den Eindringling Dateien betroffen ist, speichert er die Informationen aus der System-Ebene. Die folgenden Informationen zu den Aufzeichnungen des Urheberrechts-oder Hardware-Informationen anzeigen:
29. April 19.06.47 www Login [28845]: failed Login 1 von xxx.xxx.xxx.xxx, Benutzer nicht auf die zugrunde liegenden Authentifizierungsmodul bekannt
Dies ist ein Loginfehler Informationen aufzeichnen: Apr 29 22.05.45 Spiel PAM_pwdb [29509]: (Login) Sitzung für den Benutzer von NCX eröffnet (UID = 0).
Der erste Schritt sollte kill-HUP `cat werden / var / run / syslogd.pid`, natürlich, es kann ein Angreifer hat es geschafft.
2. Wtmp, utmp protokolliert, FTP-Protokoll
Sie können / var / adm / var / log / etc-Verzeichnis namens wtmp finden, utmp-Datei, diese Dateien, wenn der Benutzer registriert ist, und wo Remote-Login auf dem Host, die Hacker-Software, gibt es eine der ältesten und beliebtesten zap2 (kompilierte Datei-Namen in der Regel genannt z2 oder wischen genannt) wird verwendet, um "wipe" in diesen beiden Dateien der Benutzer Log-Informationen, sondern weil die Geschwindigkeit des Netzwerks ist zu faul oder langsam, Viele Eindringlinge nicht hochladen oder kompilieren Sie diese Datei. Administratoren können mithilfe der lastlog Befehl, um den Eindringling auf die Quell-Adresse des letzten (natürlich, diese Adresse kann ein Sprungbrett sein ihrer Verbindung zu erhalten). FTP-Protokoll ist normalerweise / var / log / xferlog, eine detaillierte Aufzeichnung der Datei-Modus, um Dateien auf FTP-Upload der Zeit, die Quelldatei name, etc., sondern weil das Protokoll zu offensichtlich ist, so etwas anspruchsvollere Eindringlingen selten FTP verwenden, um Dateien zu übertragen, sie in der Regel verwenden Sie die RCP.
3. Sh_history
Erhalten Sie Root-Rechte, der Eindringling kann eigene Rechnung bauen Invasion ist für fortgeschrittene Fähigkeiten wie uucp, LP usw. verwenden Sie nicht das System Benutzername plus Passwort. Nach der Invasion, auch wenn ein Eindringling entfernt. Sh_history oder. Bash_hi-Geschichte dieses Dokument, die Umsetzung der kill-HUP `cat / var / run / inetd.conf" können im Speicher Seite in die bash-Befehl beibehalten werden, um neu zu schreiben Datensätze Zurück auf die Festplatte, dann die ausführbare Datei find /-name.sh_historyprint, sorgfältig Profil jedes verdächtige Shell-Befehl log. Sie können / usr / spool / lp (lp Home-Verzeichnis), / usr / lib / uucp / anderes Verzeichnis zu finden. Sh_history Datei, es kann festgestellt werden, in denen ähnliche oder FTP xxx.xxx.xxx.xxx rcpnobody @ xxx. xxx.xxx.xxx: / tmp / Backdoor / tmp / Backdoor Weg, den Eindringling zu IP-oder Domain-Namen Bestellungen zeigen.
4. HTTP-Server-Logs
Dies ist der wirkliche Ursprung Eindringling anzugreifen Adresse der effektivsten Methoden zu bestimmen. Die populärste Apache-Server, zum Beispiel in der $ (prefix) / logs / access.log Verzeichnis können Sie diese Datei zu finden, die dem Besucher die IP, die Zugriffszeit und einen Antrag auf Zugang zu den Inhalten Datensätze. Nach der Invasion, sollten wir in der Lage, ähnliche Dokumente in die folgenden Informationen: Rekord: xxx.xxx.xxx.xxx [28/Apr/2000: 00.29.05 -0800] "GET / cgi-bin find / rguest.exe "404-xxx.xxx.xxx.xxx [28/Apr/2000: 00.28.57 -0800]" GET / msads / Samples / Selector / showcode.asp "404
Dies deutet darauf hin, dass die IP xxx.xxx.xxx.xxx vor Eindringlingen in den 28 April 2000, um 00.28 Uhr versucht, Zugang / msads / Samples / Selector / showcode.asp Datei, die gescannt über das Web-cgi ist Gerät in den Nachwirkungen des log. Die meisten der Web-Scanner Eindringlinge oft wählen nächstgelegenen Server. Kombination der Attack-Zeit und IP, können wir wissen, eine Menge Informationen Eindringlinge.
5. Core Dump
Ein sicherer und stabiler in den normalen Betrieb der Dämonen, wenn sie nicht "dump" den Kern des Systems, wenn die Invasoren Angriff mit einem Remote-Schwachstelle, sind viele Dienste mit einem der Steckdose getpeername Funktion aufrufen, so dass ein Eindringling die IP wird ebenfalls gespeichert in Erinnerung.
6. Proxy-Server anmelden
Proxy-Server ist das Netz der großen und mittleren Unternehmen verwenden häufig eine Methode für den Informationsaustausch innerhalb und außerhalb einer Schnittstelle, ist es ein treuer Rekord von jedem Benutzer den Zugriff
Content, darunter natürlich auch der Eindringling Zugriff auf Informationen. Die häufigsten Squid-Proxy, zum Beispiel, oft können Sie / usr / local / squid / logs / access.log unter dieser großen Log-Datei gefunden. Sie können unter folgender Adresse zur Analyse von Protokoll-Skript squid bekommen: http://www.squid-cache.org/Doc/Users-Guide/added/st. Html Datei zugreifen log durch die sensible Analyse, wie die Menschen wissen können, wann besuchten die Vertraulichkeit der Inhalte dieser.
7. Router anmelden
Standardmäßig wird der Router keine Aufnahmen zu scannen und log, so dass ein Eindringling benutzt ein Sprungbrett, um es anzugreifen. Wenn Ihr Unternehmen Netzwerk ist in militärischen Gebieten und die entmilitarisierte Zone, dann fügen Sie unterteilt die Router-Protokoll zeichnet sich in der Zukunft helfen, den Eindringling zu verfolgen. Noch wichtiger ist, der Verwalter
Für diese Einstellung, um den Angreifer am Ende festzustellen, ist innerhalb oder außerhalb eines Dieb stiehlt. Natürlich brauchen Sie zusätzliche router.log einen Server, um Dateien Platz.
Achtung!
Für den Eindringling in den gesamten Prozess der Angriff nicht versuchen, mit dem Ziel TCP-Verbindung aufzubauen ist nicht möglich, gibt es viele subjektive und objektive Gründe Eindringling, und die Angriffe in der Umsetzung des Protokolls ist nicht sehr schwer zu verlassen .
Wenn wir genügend Zeit und Energie darauf verwenden, kann es im Protokoll aus einer großen Anzahl von Informationen des Eindringlings. In Bezug auf die psychologische Verhalten der Eindringling, der den Zielrechner die größere Autorität erreicht, neigen sie dazu, eher konservative Art und Weise zu verwenden, um Verbindungen mit dem Ziel aufzubauen. Eine sorgfältige Analyse der frühen log, insbesondere der Teil, der einen Scan enthält, können wir eine größere Ernte.
Log Audit nur als passive Mittel der Verteidigung nach der Invasion, ist die Initiative für ihr eigenes Lernen, die Zeit zu verbessern, um Upgrades oder Updates des Systems, vorbereitet und effektivste Weg, um die Invasion zu verhindern.