Etter invasjonen i UNIX-systemet for å bestemme tap og inntrengeren angrepene kilden postadresse er viktig. Selv om de fleste av inntrengerne har kompromittert datamaskiner vet hvordan de skal bruke som et springbrett for å angripe din server, men de gjorde før du starter en formell angrep mål for innsamling (utforskende skanning) ofte starter fra deres arbeid datamaskiner, følgende beskriver hvordan systemet fra inntrenging av inntrengeren loggene i IP og være bestemt.
En. Meldinger
/ Var / adm er loggen katalogen UNIX (Linux er under / var / log). ASCII-format, der er det mange loggfiler, selvfølgelig, la oss fokusere først og fremst konsentrert i meldingene filer er dette generelt bekymret inntrengere filen, registrerer den informasjonen fra systemnivå. Følgende informasjon er å vise registreringer av opphavsretten eller maskinvare informasjon:
29.04 19:06:47 www login [28845]: mislykkede innloggingsforsøk 1 fra xxx.xxx.xxx.xxx, Bruker ikke kjent for underliggende godkjenning modulen
Dette er en pålogging fiasko registrere informasjon: 29/04 22:05:45 spillet PAM_pwdb [29509]: (login) samling åpnet for bruker ncx av (uid = 0).
Første skritt bør være å Kill-HUP `cat / var / løpe / syslogd.pid`, selvfølgelig, kan det være inntrengere allerede var gjort.
2. Wtmp, utmp logger, FTP logg
Du kan / var / adm, / var / log, / etc for å finne navn wtmp, utmp fil, filer disse når brukeren er registrert, og der ekstern pålogging til verten, den hacker programvaren, er det en den eldste og mest populære zap2 (kompilert filnavn normalt kalt z2, eller kalt tørk), brukes til å "tørke" ut i disse to filene brukeren påloggingsinformasjonen, men fordi nettverket hastigheten er for late eller sakte, Mange inntrengere ikke laste opp eller kompilere denne filen. Administratorer kan bruke lastlog kommandoen for å få forstyrre å koble til kilden adressen til den siste (selvfølgelig, kan denne adressen være en av springbrett deres). FTP log er vanligvis / var / log / xferlog, en detaljert oversikt over filen modus for å laste opp filer til FTP tiden, kildefilen navn osv., men fordi loggen er for åpenbar, så litt mer sofistikert inntrengere sjelden bruke FTP til å overføre filer, de vanligvis bruker RCP.
Tre. Sh_history
Få tak i root privilegier, kan inntrengeren bygge sin egen invasjon av konto er for mer avanserte ferdigheter som UUCP, lp, osv. Ikke bruk systemet brukernavnet pluss passord. Etter invasjonen, selv om en inntrenger fjernet. Sh_history eller. Bash_hi-historien dette dokumentet, gjennomføring av kill-HUP `cat / var / løpe / inetd.conf` kan beholdes i minnet siden i bash kommandoen for å omskrive poster tilbake til disk, så den kjørbare finn /-name.sh_historyprint, nøye vise hver mistenkelige skall kommando logg. Du kan / usr / spool / lp (lp home dir), / usr / lib / UUCP / andre for å finne. Sh_history fil, kan det finnes der liknende FTP xxx.xxx.xxx.xxx eller rcpnobody @ xxx. xxx.xxx.xxx: / tmp / bakdør / tmp / bakdør måte å vise inntrengeren IP eller domenenavnet bestillinger.
4. HTTP-serveren logger
Dette for å fastslå den virkelige inntrengeren angrepet opprinnelse adresse av de mest effektive metodene. De mest populære Apache-server, for eksempel i $ (prefix) / logger / access.log katalogen kan du finne denne filen, som registrerer den besøkendes IP, aksesstid og ber om tilgang til innholdet. Etter invasjonen, bør vi være i stand til å finne lignende dokumenter i følgende informasjon: posten: xxx.xxx.xxx.xxx [28/Apr/2000: 00:29:05 -0800] "GET / cgi-bin / rguest.exe "404-xxx.xxx.xxx.xxx [28/Apr/2000: 00:28:57 -0800]" GET / msads / samples / SELECTOR / showcode.asp "404
Dette indikerer at IP er xxx.xxx.xxx.xxx fra inntrengere i 28 april 2000 til 00:28 prøver å få tilgang / msads / samples / SELECTOR / showcode.asp fil, som er skannet ved hjelp av web cgi enhet i kjølvannet av loggen. Det meste av web skanneren inntrengerne ofte velger det nærmeste serveren. Kombinasjon av angrep tid og IP, kan vi vite mye informasjon inntrengere.
5. Core Dump
En sikker og stabil i normal drift av nisser, når de ikke "dumpe" kjernen i systemet, når inntrengerne angrepet ved hjelp av en ekstern sårbarhet, er mange tjenester som kjører en av stikkontakten getpeername funksjonskallet, så inntrengeren IP lagres også i minnet.
Seks. Proxy server stokk
Proxy-server er nettverket av store og mellomstore bedrifter ofte bruker en metode for informasjonsutveksling innen og utenfor et brukergrensesnitt, er det en trofast oversikt over hver enkelt bruker tilgang
Innhold, herunder selvfølgelig inntrengeren få tilgang til informasjon. Den vanligste blekksprut proxy, for eksempel ofte du kan / usr / local / squid / logs / access.log funnet under denne enorme loggfilen. Du kan fås fra blekksprut logg analyse script: http://www.squid-cache.org/Doc/Users-Guide/added/st. Html tilgang logge gjennom analyse av sensitive dokumenter, kan du fortelle hvem og når besøkte konfidensielt innholdet i disse.
7. Rutere logg
Standard, vil ruteren ikke inn noen skanne og stokk, slik at inntrengeren brukte et springbrett til å angripe den. Hvis bedriften nettverket er delt inn i militære soner, og den demilitariserte sonen, deretter legge til ruteren logg registrerer ville hjelpe i fremtiden å spore inntrengeren. Enda viktigere, administratoren
For et slikt sett kan identifisere angriperen til slutt er innenfor eller utenfor Pirates of tyven. Selvfølgelig trenger du ekstra router.log en server å plassere filer.
OBS!
For inntrengeren, gjør i hele prosessen for angrep og mål apparat ikke forsøke å opprette TCP-tilkobling er ikke mulig, det er mange subjektive og objektive grunner til inntrengerne, og angrep i gjennomføringen av loggen ikke er svært vanskelig å forlate .
Hvis vi bruker nok tid og energi, kan den logge inn fra et stort antall inntrengeren informasjonen. Når det gjelder den psykologiske oppførsel av inntrengeren, som oppnådde mål apparat større autoritet, har de en tendens til å bruke mer konservativ måte å bygge forbindelser med målet. Grundig analyse av de tidlige loggen, spesielt den delen som inneholder en skanning, kan vi ha en større avling.
Logg tilsynet bare som en passiv middel til forsvar etter invasjonen, er et initiativ for å styrke egen læring, på tide å oppgradere eller oppdatere systemet, forberedt og mest effektive måten å hindre invasjonen.