Après l'invasion du système UNIX pour déterminer les pertes et les attaques de l'intrus l'adresse source est très important. Bien que la plupart des intrus ont des ordinateurs compromis savoir comment l'utiliser comme un tremplin pour attaquer votre serveur, mais ils ne le lancement d'un fonctionnaire avant la collecte d'informations cible des attaques (analyse exploratoire) souvent à partir de leurs ordinateurs de travail, le texte suivant décrit comment le système de l'intrusion de l'intrus se connecte la propriété intellectuelle et à déterminer.
1. Messages
/ Var / adm est le répertoire des journaux UNIX (Linux est sous / var / log). format ASCII, dans lequel un nombre considérable de fichiers de log, bien sûr, concentrons-nous tout d'abord concentrée dans les fichiers de messages, ce qui est généralement préoccupé par les intrus de fichier, il enregistre les informations de niveau système. Ci-dessous montre les enregistrements de l'information de copyright ou de matériel d'information:
connexion avril www 29 19:06:47 [28845]: failed Login 1 xxx.xxx.xxx.xxx FROM, l'utilisateur ne connaît pas le module d'authentification sous-jacent
Il s'agit d'un dossier d'information échec connexion: Apr 29 22:05:45 jeu PAM_pwdb [29509]: (login) session a été ouverte pour le NCX utilisateur par (uid = 0).
La première étape devrait être de cat kill-HUP `/ var / run / syslogd.pid», bien sûr, il peut y avoir des intrus avait déjà été fait.
2. Wtmp, utmp grumes, log FTP
Vous pouvez / var / adm / var / log, le répertoire / etc pour trouver le nom wtmp, fichier utmp, ces fichiers lorsque l'utilisateur est enregistré, et où la connexion à distance à l'hôte, le logiciel pirate, il ya une le nom de fichier plus ancien et le plus populaire zap2 (compilé normalement appelé Z2, ou appelé wipe), est utilisé pour «effacer» dans ces deux dossiers les informations de connexion des utilisateurs, mais parce que la vitesse du réseau est trop paresseux ou lent, Plusieurs intrus ne pas télécharger ou compiler ce fichier. Les administrateurs peuvent utiliser la commande pour obtenir le lastlog intrus de se connecter à l'adresse source de la dernière (bien sûr, cette adresse peut être un de leurs tremplin). log FTP est généralement / var / log / xferlog, un compte rendu détaillé du mode fichier à télécharger des fichiers sur FTP l'époque, le nom du fichier source, etc, mais parce que le journal est trop évident, donc un peu plus sophistiqué que rarement les intrus utiliser FTP pour transférer des fichiers, ils utilisent généralement la RCP.
3. Sh_history
Obtenir les privilèges root, l'intrus peuvent construire leur propre invasion de compte pour plus de compétences avancées comme uucp, LP, etc ne pas utiliser le nom d'utilisateur système plus mot de passe. Après l'invasion, même si un intrus supprimé. Sh_history ou. Bash_hi étages de ce document, la mise en œuvre des kill-HUP `cat / var / run / inetd.conf» peut être retenu dans la page de mémoire dans la commande bash pour ré-écrire des enregistrements Retour sur le disque, puis l'exécutable find /-name.sh_historyprint, soigneusement tenu chaque journal shell de commande suspecte. Vous pouvez / usr / spool / lp (dir Accueil LP), / usr / lib / uucp / répertoire pour trouver d'autres. Sh_history fichier, il peut être trouvé dans laquelle similaires xxx.xxx.xxx.xxx FTP ou rcpnobody @ xxx. xxx.xxx.xxx: / tmp / backdoor / tmp / moyen détourné pour montrer la période d'enquête intrus ou des ordres nom de domaine.
4. Serveur HTTP journaux
Il s'agit de déterminer l'attaque intrus réel originaires adresse des méthodes les plus efficaces. Le serveur le plus populaire Apache, par exemple, dans le $ (prefix) / logs / access.log répertoire que vous pouvez trouver ce fichier, qui enregistre les IP du visiteur, le temps d'accès et de demander l'accès au contenu. Après l'invasion, nous devrions être en mesure de trouver des documents similaires dans les informations suivantes: Record: xxx.xxx.xxx.xxx 28/Apr/2000 [: 00:29:05 -0800] "GET / cgi-bin / rguest.exe "28/Apr/2000 404-xxx.xxx.xxx.xxx [: 00:28:57 -0800]" GET / msads / Samples / Selector / showcode.asp "404
Cela indique que l'IP est xxx.xxx.xxx.xxx des intrus dans du 28 avril, 2000 à 00:28 essaie d'accéder à / msads / Samples / sélecteur de fichier showcode.asp /, qui est analysé en utilisant le web cgi dispositif à la suite du journal. La plupart des intrus scanner web souvent choisir le serveur le plus proche. Combinaison des temps d'attaque et la propriété intellectuelle, nous pouvons savoir beaucoup d'envahisseurs de l'information.
5. Core dump
Une sûr et stable dans le fonctionnement normal des démons, quand il n'est pas "vider" le noyau du système, lorsque les envahisseurs attaque à l'aide d'une vulnérabilité à distance, de nombreux services sont en cours d'exécution l'un des appel de fonction socket getpeername alors IP de l'intrus est également enregistré dans la mémoire.
6. Journaux du serveur Proxy
serveur proxy est le réseau des grandes et moyennes entreprises ont souvent recours à une méthode d'échange d'informations au sein et en dehors d'une interface, il enregistre fidèlement chaque accès utilisateurs
Contenu, y compris bien sûr l'accès à l'information intrus. Le proxy squid les plus courants, par exemple, vous pouvez souvent / usr / local / squid / logs / access.log trouve sous ce fichier journal énorme. Vous pouvez obtenir des calmars à l'analyse de script adresse journaux suivants: http://www.squid-cache.org/Doc/Users-Guide/added/st. Log Html accès aux fichiers grâce à l'analyse sensible de la façon dont les gens peuvent savoir quand visité le caractère confidentiel du contenu de ces.
7. Routeurs journal
Par défaut, le routeur n'enregistre pas tout numériser et journaux, ainsi l'intrus a utilisé un tremplin pour l'attaquer. Si votre réseau d'entreprise est classée comme zones militaires et de la zone démilitarisée, puis ajouter les enregistrements du journal du routeur permettra de suivre l'avenir intrus. Plus important encore, l'administrateur
Pour ce paramètre pour déterminer l'attaquant dans le final est à l'intérieur ou en dehors des Pirates du voleur. Bien sûr, vous avez besoin router.log supplémentaires à un serveur de placer les fichiers.
Attention!
Pour l'intrus, dans l'ensemble du processus d'attaque et de la machine cible ne cherche pas à établir la connexion TCP n'est pas possible, il ya beaucoup de raisons subjectives et objectives pour les envahisseurs, et les attaques dans la mise en œuvre du journal n'est pas très difficile de quitter .
Si l'on passe suffisamment de temps et d'énergie, il peut se connecter depuis un grand nombre d'informations de l'intrus. En ce qui concerne le comportement psychologique de l'intrus, qui ont atteint la machine cible la plus grande autorité, ils ont tendance à utiliser de manière plus conservatrice pour tisser des liens avec la cible. Une analyse attentive du journal au début, surtout la partie qui contient une analyse, nous pouvons avoir une plus grande récolte.
journal d'audit seulement comme un moyen de défense passive après l'invasion, l'initiative est d'améliorer leur propre apprentissage, le temps de mise à niveau ou mise à jour du système, élaboré et le plus efficace pour empêcher l'invasion.