Efter invasionen i UNIX för att avgöra den förlust och inkräktaren angriper källadress är mycket viktigt. Även om de flesta inkräktare har smittade datorer vet hur man använder som en språngbräda för att attackera din server, men de ville starta en tjänsteman före attentaten målet insamling av information (förberedande scan) ofta från sitt arbete datorer, följande beskriver hur system från intrång av inkräktare stockar under undersökningsperioden och som skall fastställas.
1. Meddelanden
/ Var / adm är loggen katalogen UNIX (Linux är under / var / log). ASCII-format, där det finns många loggfiler, naturligtvis, låt oss fokusera först och främst koncentrerade i meddelanden filer är det här generellt berörda inkräktare fil, registrerar den informationen från systemnivå. Följande information är att visa på dokumentation av upphovsrätt eller hårdvara Information:
29 apr 19:06:47 www login [28.845]: Kunde LOGIN 1 från xxx.xxx.xxx.xxx, användaren inte känner till de underliggande autentisering modulen
Detta är en inloggning misslyckas registrera information: 29 apr 22:05:45 spel PAM_pwdb [29509]: (inloggning) session öppnades för användare ncx av (uid = 0).
Det första steget bör vara kill-HUP cat `/ var / run / syslogd.pid", naturligtvis kan det finnas inkräktare redan hade gjort.
2. Wtmp, utmp loggar, FTP log
Du kan / var / adm, / var / log / etc katalogen för att hitta namnet wtmp, utmp fil filer dessa när användaren registreras, och där fjärrkontrollen loggen till värden, i en hacka mjukvaran den äldsta och mest populära zap2 (sammanställd filnamnet kallas normalt Z2, eller kallas torka), används för att "torka" i dessa två filer användaren inloggningsuppgifter, men eftersom nätverket hastigheten är för lat eller långsam, Många inkräktare laddar inte eller sammanställa den här filen. Administratörer kan använda detta kommando lastlog att få inkräktare för att ansluta till källadress av de sista (naturligtvis kan denna adress vara en av deras språngbräda). FTP stock är normalt sett / var / log / xferlog, filen detaljerade register för FTP-läge för att ladda upp filer av tid, är källan filnamn osv, men sedan log alltför tydliga, så lite mer sofistikerat inkräktare sällan använda FTP för att överföra filer, använda de allmänt att RCP.
3. Sh_history
Skaffa root-privilegier, kan inkräktaren bygga sin egen invasion av hänsyn till mer avancerade färdigheter som uucp, lp så använd inte namnet systemanvändare plus lösenord. Efter invasionen, även om en inkräktare bort. Sh_history eller. Bash_hi våningar detta dokument, genomförande av kill-HUP `cat / var / run / inetd.conf" kan finnas kvar i minnet sidan i bash kommando för att skriva journaler till disk, då den körbara find /-name.sh_historyprint, noggrant titta på varje misstänkt stock skalkommando. Du kan / usr / spool / lp (dir lp i hemmet), / usr / lib / uucp / annan katalog att hitta. Sh_history fil kan det finnas där liknande FTP xxx.xxx.xxx.xxx eller rcpnobody @ xxx. xxx.xxx.xxx: / tmp / bakdörr / tmp / bakdörr sätt att visa inkräktaren IP-eller domän beställningar namn.
4. HTTP serverloggar
Detta för att bestämma den verkliga inkräktaren attack ursprung adress av de mest effektiva metoderna. De mest populära Apache-server, till exempel i $ (prefix) / logs / access.log katalogen kan du hitta denna fil, som registrerar besökarens IP, åtkomsttid och begär tillgång till innehållet. Efter invasionen borde vi kunna hitta liknande dokument i följande uppgifter: rekord: xxx.xxx.xxx.xxx [28/Apr/2000: 00:29:05 -0800] "GET / cgi-bin / rguest.exe "404-xxx.xxx.xxx.xxx [28/Apr/2000: 00:28:57 -0800]" GET / msads / prov / SELECTOR / showcode.asp "404
Detta tyder på att IP xxx.xxx.xxx.xxx mot inkräktare i April 28, 2000 till 0:28 försöker komma åt / msads / prov / SELECTOR / showcode.asp fil, som är skannade via webben cgi anordning i efterdyningarna av loggen. De flesta av inkräktare webben skannern ofta väljer den närmaste servern. Kombination av attack-tid och IP kan vi veta en hel del information inkräktare.
5. Core dumpa
En trygg och säker demonen vid normal drift inte kommer att "dumpa" kärnan i systemet, när du använder en avlägsen inkräktare bedrifter, finns många tjänster som utför en getpeername funktionsanrop uttaget, så inkräktaren IP sparas också i minnet.
6. Proxyserver log
Proxy server är ett nätverk av stora och medelstora företag ofta använder en metod för informationsutbyte inom och utanför ett gränssnitt, är det en trogen register över varje användare tillgång
Innehåll, inklusive naturligtvis inkräktaren tillgång till information. De vanligaste squid proxy, till exempel, ofta du kan / usr / local / squid / logs / access.log finns under denna enorma loggfil. Du kan få bläckfisk på följande adress logganalys skript: http://www.squid-cache.org/Doc/Users-Guide/added/st. Html fil tillgång log genom känsliga analys av hur människor kan veta när besökte sekretess för innehållet i dessa.
7. Routrar log
Standard kommer routern spela någon skanna och logga, så inkräktaren används en språngbräda för att attackera den. Om ditt företagsnätverk är uppdelad i militära zoner och den demilitariserade zonen, lägg sedan till routerns logg register skulle hjälpa i framtiden att spåra inkräktaren. Ännu viktigare är att administratören
För en sådan som kan identifiera angriparen i slutändan är inom eller utanför Pirates of the tjuv. Självklart behöver du ytterligare router.log en server att placera filer.
Observera!
För inkräktaren, gör i hela processen för attack och måldatorn inte försöka upprätta TCP-anslutning inte är möjligt, det finns många subjektiva och objektiva skäl för angriparna, och attacker i genomförandet av loggen inte är mycket svårt att lämna .
Om vi tillbringar tillräckligt med tid och energi kan analyseras från ett stort antal log information från inkräktare. När det gäller de psykologiska beteende inkräktare, som uppnått målet maskinen större auktoritet, tenderar de att använda mer konservativt sätt att bygga förbindelser med målet. Noggrann analys av de tidiga log, särskilt den del som innehåller en scan, kan vi ha en större skörd.
Logga granskning endast som ett passivt sätt att försvara sig efter invasionen, är initiativ för att förbättra sitt eget lärande, dags att uppgradera eller uppdatera systemet, beredda och mest effektiva sättet att hindra invasionen.