Na de invasie in het UNIX-systeem om het verlies te bepalen en de indringer aanvallen de bron adres is erg belangrijk. Hoewel de meeste van de indringers hebben besmette computers weten hoe te gebruiken als een springplank naar your server aanval, maar ze hadden de lancering een ambtenaar gesloten vóór de aanslagen target informatie te verzamelen (verkennende scan) vaak uit their computers het werk, start de following beschrijft hoe het systeem van het binnendringen van de indringer logs in het OT en vast te stellen.
1. Boodschappen
/ Var / adm is de log directory UNIX (Linux is onder / var / log). ASCII-formaat, waarin er veel log bestanden, natuurlijk, laten we ons concentreren in de eerste plaats geconcentreerd in de berichten bestanden, deze algemene zorg is de indringer bestanden, Hij registreert de gegevens uit het systeem niveau. De volgende informatie is te laten zien in de registers van het auteursrecht of hardware-informatie:
29-04 19:06:47 www ingelogd [28845]: mislukte login 1 VAN xxx.xxx.xxx.xxx, Gebruiker niet bekend bij de onderliggende Authentication Module
Dit is een record niet ingelogd informatie: 29-4 22:05:45 spel PAM_pwdb [29509]: (login) sessie geopend voor de gebruiker NCX door (uid = 0).
De eerste stap moet zijn om kill-HUP `cat / var / run / syslogd.pid", natuurlijk kunnen er indringers waren al gedaan.
2. Wtmp, utmp logs, FTP-log
U kunt / var / adm / var / log / etc directory te vinden met de naam wtmp, utmp bestand, deze bestanden wanneer de gebruiker wordt geregistreerd, en waar op afstand inloggen op de gastheer, de hacker-software, is er een de oudste en meest populaire zap2 (gecompileerde bestand naam die genoemd Z2, of veeg genoemd), wordt gebruikt om "af te vegen" in de twee dossiers van de informatie die de gebruiker inloggen, maar omdat de snelheid van het netwerk is te lui of traag, Veel indringers niet uploaden of het compileren van het bestand. Beheerders kunnen gebruik maken van de lastlog opdracht om de inbreker om verbinding te maken met de bron adres van de laatste (natuurlijk, dit adres kan een van hun springplank te krijgen). FTP-log is meestal / var / log / xferlog, een gedetailleerd record van het bestand modus om bestanden te uploaden naar FTP de tijd, de bron bestandsnaam, enz., maar omdat het logboek is te duidelijk, dus een beetje meer geavanceerde indringers zelden FTP gebruiken om bestanden over te zetten, ze over het algemeen gebruik maken van de RCP.
3. Sh_history
Root privileges te verkrijgen, de indringer kan bouwen hun eigen invasie van rekening is voor de meer geavanceerde vaardigheden zoals UUCP, lp, enz. maken geen gebruik van het systeem gebruikersnaam plus wachtwoord. Na de invasie, zelfs als een indringer verwijderd. Sh_history of. Bash_hi-verhaal dit document, de uitvoering van de kill-HUP `cat / var / run / inetd.conf" kan worden gehandhaafd in het geheugen pagina in de Bash-commando te herschrijven records Terug naar de schijf, dan is de executable find /-name.sh_historyprint, zorgvuldig bekijken elke verdachte shell commando loggen. U kunt de / usr / spool / lp (lp home dir), / usr / lib / uucp / andere directory te vinden. Sh_history-bestand, kan er worden gevonden waarin soortgelijke FTP xxx.xxx.xxx.xxx of rcpnobody @ xxx. xxx.xxx.xxx: / tmp / backdoor / tmp / backdoor manier om de indringer IP of domeinnaam orders te geven.
4. HTTP-server logs
Dit is het bepalen van de werkelijke aanval indringer uit het adres van de meest effectieve methoden. De meest populaire Apache server, bijvoorbeeld in de $ (prefix) / logs / access.log directory kunt u dit bestand te vinden, die de bezoeker IP, toegangstijd en verzoeken om toegang tot de inhoud records. Na de invasie, moeten we in staat om soortgelijke documenten met de volgende informatie: record: xxx.xxx.xxx.xxx [28/Apr/2000: 00:29:05 -0800] "GET / cgi-bin te vinden / rguest.exe "404-xxx.xxx.xxx.xxx [28/Apr/2000: 00:28:57 -0800]" GET / msads / Samples / keuze / showcode.asp "404
Dit geeft aan dat het IP xxx.xxx.xxx.xxx is tegen indringers in de 28-04-2000 om 00:28 toegang probeert te krijgen / msads / Samples / keuze / showcode.asp bestand, dat wordt gescand met behulp van de web-cgi apparaat in de nasleep van het logboek. Het merendeel van de web-scanner indringers kiezen vaak voor het dichtstbijzijnde server. Combinatie van tijd en IP-aanval, kunnen we weten veel informatie indringers.
5. Core dump
Een veilige en zekere daemon bij normaal bedrijf niet "dumpen" het hart van het systeem, wanneer de indringers op afstand aanvallen met de kwetsbaarheid, zijn veel diensten draaien van een getpeername het stopcontact functie bellen, zodat de indringer IP wordt ook opgeslagen in het geheugen.
6. Proxy server log
Proxy server is het netwerk van middelgrote en grote bedrijven maken vaak gebruik van te maken voor de uitwisseling van informatie binnen en buiten een interface waarmee een getrouw verslag of each user toegang
Inhoud, waaronder natuurlijk de indringer toegang tot informatie. De meest voorkomende squid proxy, bijvoorbeeld, vaak kan je / usr / local / squid / logs / access.log vinden onder deze enorme log-bestand. U kunt inktvis op het volgende adres loganalyse script: http://www.squid-cache.org/Doc/Users-Guide/added/st. Html-bestand te openen aanmelden via de gevoelige analyse van hoe mensen kunnen weten wanneer een bezoek aan de vertrouwelijkheid van deze deze inhoud.
7. Routers loggen
Standaard zal de router niet opnemen iedere scan en zo log, de inbreker gebruikte een springplank aan te vallen. Indien uw onderneming netwerk is verdeeld in militaire zones en de gedemilitariseerde zone, voeg vervolgens de router logboek zou helpen in de toekomst de indringer weg. Belangrijker is dat de beheerder
Voor een dergelijke set kan de aanvaller te identificeren op het einde is binnen of buiten de Piraten van de dief. Natuurlijk hebt u extra router.log een server om bestanden te plaatsen.
Let op!
Voor de indringer, in het hele proces van aanval en target machine geen poging om TCP-verbinding tot stand is niet mogelijk, er zijn veel subjectieve en objectieve redenen voor de indringers, en aanslagen in de uitvoering van het logboek is niet erg moeilijk om te vertrekken .
Als we besteden genoeg tijd en energie kan worden geanalyseerd van een partij van log gegevens tegen indringers. In termen van de psychologische gedrag van de indringer, die de doelstelling bereikt de machine van de meer gezag, hoe meer zij geneigd om een conservatieve aanpak gebruiken om een verbinding te maken met de doelgroep. Een zorgvuldige analyse van het begin van de log, met name het deel dat een scan bevat, kunnen we een grotere oogst.
Log audit alleen als een passief middel van de verdediging na de invasie, het initiatief is om their eigen leerproces, tijdige upgrade of update the system, prepared enhance en meest effectieve manier om de invasie prevent.