Dopo l'invasione del sistema UNIX per determinare la perdita e l'intruso attacca l'indirizzo di origine è importante. Sebbene la maggior parte degli intrusi hanno compromesso i computer sanno usare come trampolino per attaccare il server, ma hanno fatto lanciare un ufficiale prima della raccolta di informazioni attacchi di destinazione (scansione esplorativo) spesso iniziano dai loro computer di lavoro, i seguenti descrive come il sistema da l'intrusione della intruso accede IP e da determinare.
1. Messaggi
/ Var / adm è il log di directory UNIX (Linux è in / var / log). formato ASCII, in cui ci sono molti file di log, ovviamente, dobbiamo concentrare concentrarsi prima sul file di messaggi, che in genere è preoccupato per gli intrusi file, registra le informazioni dal livello di sistema. Le seguenti informazioni è quello di mostrare i record del copyright o hardware informazioni:
29 apr 19:06:47 login www [28.845]: LOGIN FAILED 1 xxx.xxx.xxx.xxx DA, l'utente non nota al modulo di autenticazione di base
Questo è il log delle informazioni fallimento record: Apr 29 22:05:45 partita pam_pwdb [29.509]: (login) sessione aperta alla NCX utente (uid = 0).
Il primo passo dovrebbe essere quello di gatto kill-HUP `/ var / run / syslogd.pid`, ovviamente, ci possono essere degli intrusi era già stato fatto.
2. Wtmp, utmp log, log FTP
Puoi / var / adm, / var / log, directory / etc per trovare il nome wtmp, file utmp, questi file quando l'utente è registrato, e dove login remoto per l'host, il software hacker, vi è un il nome più antico e popolare di file zap2 (compilato normalmente chiamata Z2, o chiamati wipe), è usato per "cancellare" in questi due file le informazioni di login utente, ma perché la velocità della rete è troppo pigro o lento, intrusi Molti non caricare o compilare questo file. Gli amministratori possono utilizzare il comando lastlog per ottenere l'intruso per la connessione alla sorgente l'indirizzo del precedente (ovviamente, questo indirizzo può essere uno di loro trampolino). registro FTP è di solito / var / log / xferlog, una registrazione dettagliata delle modalità file di caricare i file FTP il tempo, la fonte nome del file, ecc, ma perché il log è troppo evidente, in modo un po 'intrusi più sofisticate raramente utilizzare FTP per trasferire i file, in genere uso la RCP.
3. Sh_history
Ottenere i privilegi di root, l'intruso può costruire la loro invasione del proprio account è di maggiori competenze avanzate come uucp, lp, ecc non utilizzare il nome utente sistema più password. Dopo l'invasione, anche se un intruso rimossi. Sh_history o. Bash_hi storia di questo documento, l'attuazione di kill-HUP `cat / var / run / inetd.conf» può essere mantenuto nella pagina di memoria nel comando bash di riscrivere i record Torna al disco, poi l'eseguibile find /-name.sh_historyprint, accuratamente visualizzare ogni sospetto log comando di shell. Puoi / usr / spool / lp (home dir lp), / usr / lib / uucp / directory da trovare. Sh_history file, ci possono essere trovate in cui xxx.xxx.xxx.xxx FTP o simili rcpnobody @ xxx. xxx.xxx.xxx: / tmp / backdoor / tmp / backdoor modo per mostrare l'IP intruso o gli ordini nome di dominio.
4. Server HTTP log
Questo è quello di determinare l'attacco vero e proprio intruso indirizzo originario dei metodi più efficaci. Il server Apache più popolare, per esempio, in $ (prefix) / logs / access.log directory è possibile trovare questo file, che registra IP del visitatore, il tempo di accesso e richiedere l'accesso al contenuto. Dopo l'invasione, dovremmo essere in grado di trovare documenti simili le seguenti informazioni: record: xxx.xxx.xxx.xxx 28/Apr/2000 [: 00:29:05 -0800] "GET / cgi-bin / rguest.exe "28/Apr/2000 404-xxx.xxx.xxx.xxx [: 00:28:57 -0800]" GET / msads / Samples / SELECTOR / showcode.asp "404
Ciò indica che l'IP è xxx.xxx.xxx.xxx dagli intrusi nel 28 aprile 2000 alle 00:28 tentando di accedere a / msads / Samples / SELECTOR / file showcode.asp, che viene sottoposto a scansione utilizzando il web cgi dispositivo a seguito della registrazione. La maggior parte di intrusi scanner spesso scelgono il web server più vicino. Combinazione di Time Attack e IP, possiamo conoscere un sacco di informazioni invasori.
5. Core dump
Un luogo sicuro e stabile durante il normale funzionamento di demoni, when non "dump" il cuore del sistema, quando il invasori attacco using una vulnerabilità remota, molti servizi in esecuzione uno dei la chiamata function presa GetPeerName, in modo da IP dell'intruso viene salvato anche in memoria.
6. Proxy server log
Il server proxy è la rete di grandi e medie imprese spesso usano un metodo di scambio di informazioni all'interno e all'esterno di un'interfaccia, è una fedele registrazione di ogni accesso utente
Contenuto, incluso naturalmente le informazioni di accesso intruso. Il proxy più comuni calamari, per esempio, spesso è possibile / usr / local / squid / logs / access.log trovato sotto questo enorme file di log. È possibile ottenere i calamari al seguente script di analisi dei log indirizzo: http://www.squid-cache.org/Doc/Users-Guide/added/st. Log file Html accesso attraverso l'analisi sensibile di come la gente può sapere quando ha visitato la riservatezza del contenuto di questi.
7. Router log
Predefinito, il router non si registra alcuna scansione e log, così l'intruso ha utilizzato un trampolino di lancio per attaccarlo. Se la vostra rete aziendale è diviso in zone militari e la zona demilitarizzata, poi aggiungere i record di log del router contribuirebbe in futuro per seguire l'intruso. Ancora più importante, l'amministratore
Per un tale insieme in grado di identificare l'aggressore, alla fine, è all'interno o all'esterno della Pirati del ladro. Naturalmente, è necessario un supplemento di un file server per posizionare il router.log.
Attenzione!
Per l'intruso, in tutto il processo di attacco e la macchina di destinazione non tenta di stabilire una connessione TCP non è possibile, ci sono molti motivi soggettivi e obiettiva del invasori, e per l'attuazione di un attacco non lascia il registro è relativamente difficile .
Se passiamo abbastanza tempo ed energia, si può accedere da un gran numero di informazioni dell'intruso. In termini di comportamento psicologico del intruso, che hanno raggiunto il computer di destinazione l'autorità maggiore, tendono a usare modo più conservativo a creare rapporti con il bersaglio. Un'attenta analisi dei log precoce, soprattutto la parte che contiene una scansione, possiamo avere un raccolto maggiore.
registro di controllo solo come uno strumento passivo di difesa dopo l'invasione, l'iniziativa è to migliorare la loro apprendimento, time di aggiornamento o, preparati e most efficace prevention di methods invasive.