UNIXシステムでは侵入後、侵入者が損失を決定するために、ソースアドレスを攻撃する非常に重要です。侵入者のほとんどはコンピュータを侵害しても出発点として、サーバーを攻撃するために使用する方法を知って、彼らは攻撃のターゲット情報の収集(予備スキャン)する前に公式を起動よく自分の仕事のコンピュータから次の開始でしたどのようにシステム侵入者の侵入からIPとログを決定する方法について説明します。
1。メッセージ
は/ var / admファイルは、ログディレクトリのUNIX(Linuxは、/ var / logをログの下)です。その中にはもちろん、多くのログファイルが、ASCIIフォーマットは、私たちはすべての最初のメッセージファイルに集中して着目し、これは一般的に侵入についてファイル懸念している聞かせて、それはシステムレベルからの情報を記録します。次の情報は著作権、またはハードウェア情報の記録を示すことです:
4月29日19時06分47秒のwwwログインが28845 [編集]:1からのxxx.xxx.xxx.xxxは、ユーザ基盤となる認証モジュールに知られていないログインに失敗しました
これは、ログインの失敗の記録情報です:4月29日午後09時05分45秒ゲームPAM_pwdb [29509]:(ログイン)セッションのユーザーNCXのためで開かれた(uidは= 0)。
最初のステップは、Kill - HUPシグナルの猫には`/ var /実行する必要があります/`、もちろんsyslogd.pidは、侵入される可能性がありますが既に行われていた。
2。wtmpのは、utmpファイル、FTPのログを記録
/ etcディレクトリにwtmpファイルの名前を見つけるには、utmpファイルすることができますは/ var / admファイル/ログを/ var、これらは、ユーザーが記録され、どこのホストにリモートログインは、ハッカーのソフトウェアは、そこにあるファイル最も人気のある古いzap2(コンパイルされたファイル名は通常、z2のと呼ばれる、または消去と呼ばれる)"、"これらの2つのファイルのユーザーのログイン情報をを拭くために使われますが、ネットワークの速度があまりにも怠惰または低速であるため、多くの侵入者がアップロードしないか、このファイルをコンパイルします。管理者は)侵入者をソース(もちろん最後に、このアドレスは1つの踏み台の可能性がありますのアドレスへの接続を取得するlastlogコマンドを使用できます。 FTPのログは、通常は/ var / / FTPへのタイムファイルをアップロードするファイルモードの詳細な記録をxferlogログは、ソースファイル名などが、ので、ログも明らかですので、もう少し洗練された侵入者をほとんどファイルを転送するFTPを使用して、彼らは一般的にRCPを使用します。
3。Sh_history
入手ルート権限が、侵入者がアカウントの自分の侵入を構築することができますuucpのような、より高度なスキルは、lpは、などシステムのユーザー名およびパスワードを使用しないでください。侵入後であっても、侵入者が削除されます。Sh_historyまたは。Bash_hi階この文書を、の実施を殺す- HUPシグナル`猫の/ var /実行/ inetd.confを`メモリ内のページを再bashのコマンド履歴を書く保持することができますディスクへ、次に検索/ - name.sh_historyprint実行、慎重にそれぞれの不審なシェルコマンドログを表示します。あなたが/ /スプール/(lpのホームディレクトリをlpに)、/ usr / libに/他のディレクトリ検索/ uucpをUSR社できます。Sh_historyファイルが見つけられるかもしれませんが似てFTPのxxx.xxx.xxx.xxxはやrcpnobody @ xxxのです。 xxx.xxx.xxx:を/ tmp /バックドア/バックドア方法侵入者のIPまたはドメイン名の注文を表示する/ tmpです。
4。HTTPサーバーのログ
これは実際の侵入攻撃を最も効果的な方法のアドレスを発信元を決定することです。最も人気のあるApacheのサーバーは、たとえば、ドル(接頭辞)/ / access.logをディレクトリをは、その訪問者のIPアドレス、アクセス時間、コンテンツへのアクセス要求の記録をファイルを確認できます記録されます。侵入後、我々は以下の情報を類似した文書を:レコード:xxx.xxx.xxx.xxxの[28/Apr/2000:午後十二時29分05秒-0800]は、"/ cgi - binにはGET見つけることができる必要があります/ rguest.exe"404 - xxx.xxx.xxx.xxxは[28/Apr/2000は:夜12時28分57秒-0800]は、"/ msads /サンプル/セレクタ/ showcode.aspのGET"404
これはIPアドレスは4月28日、2000年に0時28分アクセス/ msads /サンプルのWebは、cgiを使用してスキャンされる/ showcode.aspファイル/セレクタとの侵入者からxxx.xxx.xxx.xxxのであることを示しますログの余波で、デバイス。ウェブスキャナ侵入者のほとんどの場合、最も近いサーバーを選択します。アタックタイムとIPの組み合わせは、我々は情報の侵略の多くを知ることができます。
5。コアはダンプ
デーモン、正常に動作secure and安定とき""システム、侵略remote脆弱性を利用attack ofコアをダンプしませんで、多くのサービスなので、侵入者のIPがも保存されます1つのソケットgetpeername関数呼び出しの実行しているメモリです。
6。プロキシサーバーのログ
プロキシサーバーは、大規模な中小企業のネットワーク内で頻繁に、インターフェイス以外の情報交換の方法を使用して、それは各ユーザの忠実に記録へのアクセスです
コンテンツは、もちろん侵入者のアクセス情報を含む。最も一般的なイカプロキシは、例えば、頻繁にすることができますは/ usr / / / /この巨大なログファイルの下にあるaccess.logをログイカローカル。あなたは次のアドレスのログ分析スクリプトでイカ得ることができます:http://www.squid-cache.org/Doc/Users-Guide/added/stします。HTMLファイルへのアクセスログの感度分析を介して人が知ることができる方法これらの内容の機密性を訪問した。
7。ルータのログ
デフォルトでは、ルータが任意のスキャンとログなので、侵入者はそれを攻撃する踏み台を使用し記録されません。あなたの企業ネットワークは、軍事ゾーンと非武装地帯として、ルータのログレコードを将来的に侵入者を追跡するために役立つだろう追加分類される場合。さらに重要なことは、管理者
このようなセットの最後には、攻撃者を識別することができます以内またはパイレーツ泥棒の外です。もちろん、あなたは追加のサーバーにファイルを配置するrouter.log必要があります。
注意!
侵入者は、攻撃のプロセス全体とターゲットマシンでのTCP接続を確立しようとしない可能性はないが、そこに侵略のために、多くの主観的客観的理由は、ログの実装では攻撃がされていない非常に残して難しい。
我々は十分な時間とエネルギーを費やすなら、それは、侵入者の情報の多くからログインすることができます。ターゲットマシンをより権威を達成侵入の心理的行動の面で、彼らは、ターゲットとの接続を構築するより保守的な方法を使用する傾向がある。初期のログを慎重に分析では、スキャンを含む、特に一部、我々は大きな収穫することができます。
侵攻防衛の受動的な手段としてのみログの監査は、イニシアチブをアップグレードしたり、システムを更新し、準備してほとんどの方法を侵略を防ぐために効果的な独自の学習を、時間を強化することです。