Después de la invasión en el sistema UNIX para determinar la pérdida y el intruso ataca a la dirección de origen es muy importante. Aunque la mayoría de los intrusos han puesto en peligro los equipos saben usar como trampolín para atacar a su servidor, pero hicieron antes de lanzar un ataque meta formal de recolección de información (análisis exploratorio) a menudo trabajan desde sus equipos iniciado, el siguiente describe cómo el sistema de la intrusión de los registros del intruso en el PI y que se determinarán.
1. Mensajes
/ Var / adm es el directorio de registro de UNIX (Linux está en / var / log). formato ASCII, que una gran cantidad de archivos de registro, por supuesto, vamos a centrarnos en primer lugar, concentrarse en los archivos de mensajes, esto es generalmente preocupados por intrusos archivo, se graba la información de nivel de sistema. La siguiente información es para mostrar los registros de derecho de autor o información del hardware:
29 de abril 19:06:47 entrada www [28845]: FAILED LOGIN xxx.xxx.xxx.xxx ENTRE EL 1 º, el Usuario no sabe que el módulo de autenticación subyacentes
Éste es un problema la información de acceso registro: 29 de abril 22:05:45 juego PAM_pwdb [29509]: (login) período de sesiones abierto a la NCX usuario (uid = 0).
Paso de gato se Kill-HUP `/ var / run / syslogd.pid», Es posible que un intruso lo ha hecho.
2. Wtmp, utmp registros, registro FTP
Usted puede / var / adm, / var / log, / etc directorio para encontrar el nombre wtmp, utmp, estos archivos cuando el usuario se registra, y en inicio de sesión remoto en el host, el software pirata, hay una el más antiguo y más popular el nombre zap2 (compilado archivo, normalmente llamada z2, o llamado limpiar), se utiliza para "borrar" en estos dos archivos la información de acceso de usuario, sino porque la velocidad de red es demasiado perezoso o lento, Muchos intrusos no cargar o compilar este archivo. Los administradores pueden utilizar el comando lastlog Para obtener el intruso para conectarse a la dirección de origen de la última (por supuesto, esta dirección puede ser una de sus trampolín). registro FTP generalmente es / var / log / xferlog, un registro detallado de la modalidad de archivo para subir archivos por ftp el tiempo, la fuente de nombre de archivo, etc, sino porque el registro es demasiado obvio, así que un poco más sofisticados intrusos raramente el uso de FTP para transferir archivos, por lo general, el uso del PCR.
3. Sh_history
Obtener privilegios de root, el intruso puede construir su propia invasión de cuenta es de más habilidades avanzadas como uucp, lp, etc, no use el nombre de usuario del sistema, más contraseña. Después de la invasión, incluso si un intruso retira. Sh_history o. Bash_hi pisos este documento, la aplicación de kill-HUP `cat / var / run / inetd.conf» se puede conservar en la página de memoria en el comando bash para re-escribir los registros de vuelta al disco, y luego el ejecutable find /-name.sh_historyprint, cuidadosamente ver cada registro de shell de comandos sospechosas. Puede / usr / spool / lp (lp dir a casa), / usr / lib / uucp / otro directorio para encontrar el archivo. Sh_history, puede ser encontrado en las que xxx.xxx.xxx.xxx FTP o similares rcpnobody @ xxx. xxx.xxx.xxx: / tmp / backdoor / tmp / backdoor manera para mostrar la IP intruso o los pedidos de nombres de dominio.
4. Registros de servidor HTTP
Esto es para determinar el ataque real de intrusión dirección de origen de los métodos más eficaces. El servidor Apache más popular, por ejemplo, en el $ (prefix) / logs / access.log directorio se puede encontrar este archivo, que registra IP del visitante, tiempo de acceso y que solicita el acceso a los contenidos. Después de la invasión, debemos ser capaces de encontrar documentos similares en la siguiente información: registro: 28/Apr/2000 [xxx.xxx.xxx.xxx: 00:29:05 -0800] "GET / cgi-bin / rguest.exe "28/Apr/2000 [404-xxx.xxx.xxx.xxx: 00:28:57 -0800]" GET / SELECTOR msads / Samples / / Showcode.asp "404
Esto indica que la IP es xxxx de intrusos en el 28 de abril 2000 a doce y veintiocho minutos tratando de Acceso msads / Samples / SELECTOR / archivo Showcode.asp, que es escaneado utilizando la web cgi dispositivo tras el registro. La mayoría de los intrusos Web escáner suelen elegir el servidor más cercano. Combinación de tiempo de ataque y la propiedad intelectual, podemos saber mucho de los invasores de la información.
5. Volcado core
Un seguro y estable en el funcionamiento normal de los demonios, cuando no "volcar" el núcleo del sistema, cuando los invasores ataque con una vulnerabilidad remota, muchos servicios se están ejecutando uno de la llamada toma de la función getpeername, asi IP del intruso también se guarda en la memoria.
6. Registro del servidor Proxy
Servidor proxy es la red de empresas grandes y medianas a menudo utilizan un método de intercambio de información dentro y fuera de una interfaz, es un registro fiel de cada usuario el acceso
Contenido, incluyendo, por supuesto, la información de acceso de intrusos. El proxy squid más comunes, por ejemplo, a menudo puede / usr / local / squid / logs / access.log encontrado en este archivo de registro amplio. Usted puede conseguir el calamar en el análisis de secuencia de comandos siguiente dirección de registro: http://www.squid-cache.org/Doc/Users-Guide/added/st. Html registro de acceso a través del análisis sensible de cómo la gente puede saber cuándo visitó la confidencialidad de los contenidos de éstas.
7. Routers registro
Por defecto, el router no registrará ningún exploración y registro, para que el intruso utiliza un trampolín para atacarlo. Si su red de la empresa se divide en zonas militares y la zona desmilitarizada, a continuación, agregue los registros del router registro ayudaría en el futuro para encontrar al intruso. Más importante aún, el administrador
Para esta configuración para determinar los atacantes en el final está dentro o fuera de los Piratas del ladrón. Por supuesto, usted necesita un servidor router.log adicionales para colocar los archivos.
¡Atención!
invasores Duiyu, en todo el proceso de ataque y el equipo de destino no intenta establecer una conexión TCP no es posible, y aquí hay muchas invasiones de razones subjetivas y objetivas, sino también en la ejecución del ataque no deja un registro se Xiangdang difícil .
Si dedicamos tiempo y energía suficientes, se puede acceder desde un gran número de informaciones del intruso. En términos de la conducta psicológica del intruso, que logró el equipo de destino de la mayor autoridad, ellos tienden a utilizar de manera más conservadora para crear conexiones con el destino. Un cuidadoso análisis del registro inicial, especialmente la parte que contiene un análisis, podemos tener una cosecha mayor.
registro de auditoría sólo como un medio de defensa pasiva después de la invasión, la iniciativa es mejorar su propio aprendizaje, el tiempo para mejorar o actualizar el sistema, preparado y más eficaz manera de prevenir la invasión.