Unix操作系统***追踪反击战

阅读提示:在Unix系统遭受***后,确定损失及***者的***源地址相当重要。虽然在大多数***者懂得使用曾
被他们攻陷的机器作为跳板来***你的服务器可在他们发动正式***前所做的目标信息收集工作(试探性扫描)
常常是从他们的工作机开始的,本篇介绍如何从遭受***的系统的日志中分析出***者的IP并加以确定的。
在Unix系统遭受***后,确定损失及***者的***源地址相当重要。虽然在大多数***者懂得使用曾被他们攻陷的
机器作为跳板来***你的服务器可在他们发动正式***前所做的目标信息收集工作(试探性扫描)常常是从他们的
工作机开始的,本篇介绍如何从遭受***的系统的日志中分析出***者的IP并加以确定的。
1)messages
/var/adm是UNIX的日志目录(linux下则是/var/log)。有相当多的ASCII文本格式的日志保存之下,当然,让我们把焦
点首先集中在messages 这个文件,这也是***者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记
录对于我们是无用的。
比如:
Apr 25 21:49:30 2000 unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
Apr 25 21:49:30 2000 unix: mem = 262144K (0x10000000)
这样显示版权或者硬件信息的记录而:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
User not known to the underlying authentication module
这样的登录失败记录:
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能***者已经帮我们做过了,;-)那样我们得不到任何有用信息)
在下面这个网址你可以找到大量的日志审计分析工具或者脚:
[url]http://www.antian365.com/tem[/url] ... platform=&path=[%20auditing%20][%2-0log%20analysis%20]
2)wtmp,utmp logs,ftp日志
你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时,何地telnet上主机,在***中最
古老也是最流行的zap2(编译后的文件名一般叫做z2,或者是叫wipe). 也是用来抹掉在这两个文件中用户登录的信息的,
然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ),很多***者没有上载
或编译这个文件,管理员所需要就是使用lastlog这个命令来获得***者上次连接的源地址(当然,这个地址有可能是他们
的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名
等等。不过由于该日志太明显,所以稍微高明些的***者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可以 # cat /var/log/xferlog | grep -v 202.106.147.来查看那些不应该出现的地址。
3)sh_history
在获得root 权限后,***者建立了他们自己的***帐号,更高级的技巧是给类似uucp,lp不常使用的系统用户名加上
密码。在遭受***后,即使***者删除了. sh_history或者.bash_hi-story 这样的文件,执行kill -HUP `cat /var/run
/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘,然后执行find / -name.sh_historyprint,仔细
查看每个可疑的shell命令日志。尤其是当你在/usr/spool/lp(lp home dir),/usr/lib/uucp/(uucp home dir)这样的目录
下找了.sh_history文件时。往往***者在需要目标机和工作机传送文件时为了避免被syslog,可能使用从目标机ftp到工
作机的方法,因此在sh_history中你有可能发现类似ftp xxx.xxx.xxx.xxx或者[email]rcpnobody@xxx.xxx.xxx.xxx[/email]:/tmp/backdoor /tmp/backdoor这样显示出***者IP或域名的命令。
4)http服务器日志
这很有可能是确定***者的真实***发源地的最有效方法。以最流行的apache服务器为例,在?${prefix}/logs/ 目录
下你可以发现access.log这个文件,该文件记载了访问者的IP,访问的时间和请求访问的内容。在遭受***后,我们应该
可以在该文件中发现类似下面的:record:xxx.xxx.xxx.xxx - - [28/Apr/2000:00:29:05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx - - [28/Apr/2000:00:28:57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404 -来自IP为xxx.xxx.xxx.xxx的某人在2000年4月28号的0点28分试图访问 /msads/Samples/SELECTOR/showcode.asp文件,这是在
使用web cgi扫描器后遗留下的日志。大部分的web扫描器都是基于MS操作系统的,而为了更快的速度,使用基于Unix的
扫描器的***者常选择离自己最近的服务器。结合***时间和IP,我们可以知道***者的大量信息。
5)核心dump
这是一种相对较复杂的方法,但是也有效。一个安全稳定的守护进程在正常运行的时候是不会dump出系统的核心,当入
侵者利用远程漏洞***时,许多服务正在执行一个getpeername的 socket 函数调用(参见socket编程),因此***者的IP
也保存在内存中,此时服务overflow ,系统p 内存页文件被dump到core文件,这意味着你可能在一大段杂乱无章的字符中
(事实上是一个全局数据库中的进程变量)找到一个包含有执行此 expoloit的IP。BTW: 这段是参考了[url]http://members.tripod.com/mixtersecurity/paper.html[/url]后写出的,我做了一个cmsd的远程***测试,但只在中间找到了
***者远程overflow的部分命令,没有找到IP。不过这仍有理由相信Mixter(paper.html的作者)的话。
6)代理服务器日志
代理是大中型企业网常使用来做为内外信息交换的一个接口,它忠实地记录着每一个用户所访问的内容,当然,也包括入
侵者的访问内容。以最常用的 squid代理为例,通常你可以在/usr/local/squid/logs/下找到access.log 这个庞大的日志文件,
当然,由于日志记录添加得很快,在安全事故后应该及时备份它。你可以在以下地址获得squid的日志分析
脚本:http: //www.antian365.com/Doc/Users-Guide/added/stats.html通过对敏感文件访问日志的分析,可以
知道何人在何时访问了这些本该保密的内容。
7)路由器日志
默认方式下路由器不会记录任何扫描和登录,因此***者常用它做跳板来进行***。如果你的企业网被划分为军
事区和非军事区的话,添加路由器的日志记录将有助于日后追踪***者。更重要的是,对于管理员来说,这样的
设置能确定***者到底是内贼还是外盗。当然,你需要额外的一台服务器来放置 router.log文件。
在CISCO路由器上:
router(config)# logging faclity syslog
router(config)# logging trap informational
router(config)# logging [服务器名]
在log server上:
I .在/etc/syslog.conf中加入一行:
*.info /var/log/router.log
II . 生成文件日志文件:
touch /var/log/router.log
III .重起syslogd进程:
kill -HUP `cat /var/run/syslogd.pid`
对于***者来说,在实施***的整个过程中不与目标机试图建立tcp连接是不太可能的,这里有许多***者主观
和客观的原因,而且在实施***中不留下日志也是相当困难的。如果我们花上足够的时间和精力,是可以从大量
的日志中分析出我们希望的信息。就***者的行为心理而言,他们在目标机上取得的权限越大,他们就越倾向于
保守的方式来建立与目标机的连接。仔细分析早期的日志,尤其是包含有扫描的部分,我们能有更大的收获。
日志审计只是作为***后的被动防御手段。主动的是加强自身的学习,及时升级或更新系统。做到有备无患才是
最有效的防止***的方法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/304926.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python才能做爬虫,No,C#也可以!

介绍网络爬虫(又称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模…

cmosfixr插件怎么用_3dmax插件神器|怎么用3dmax插件神器去完成背景墙的效果图设计?...

又到3dmax插件神器的小课堂时间了!小伙伴们还记得之前几张的知识点吗?如果不记得自己去温习,温故而知新哦!如果学会了,下面学习3dmax插件神器小技巧的第四章建模篇的第4.16小节:怎么用3dmax插件神器去完成背…

jsoup 获取html中body内容_jsoup实现java抓取网页内容

jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。jsoup的主要功能如下:1. 从一个URL,文件或字符串中解析…

html中label的寬度無法修改,如何设置HTML span、label 的宽度

该文讲述如何设定 HTML span 宽度。 缺省情况 HTML span 的宽度设定无效在 HTML 中如何设定 span 的宽度?这看上去是个很简单的问题,似乎用 style 中的 width 属性就可以。例如: /p>"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transit…

27个赢得别人欣赏的诀窍

1.长相不令人讨厌,如果长得不好,就让自己有才气;如果才气也没有,那就总是微笑。2.气质是关键。如果时尚学不好,宁愿纯朴。 3.与人握手时,可多握一会儿。真诚是宝。 4.不必什么都用“我”做主语。 5.不要向朋…

不懂这25个名词,好意思说你懂大数据?

如果你刚接触大数据,你可能会觉得这个领域很难以理解,无从下手。近日,Ramesh Dontha在DataConomy上连发两篇文章,扼要而全面地介绍了关于大数据的75个核心术语,这不仅是大数据初学者很好的入门资料,对于高阶…

您好,dotnet tool

在.net core发布之初,dotnet cli就诞生了,dotnet cli的作用是什么呢?主要是用来创建,还原,构建,发布,测试等一系统管理功能,本来,visual studio中是有这些功能的&#xf…

iphone4 base64 mp3 无法解析 html5,javascript - 如何使用HTML5在firefox上播放base64音频数据? - 堆栈内存溢出...

我正在尝试编码base64格式的mp3文件。 然后通过broswer播放。 它适用于safari和chrome,但不适用于Firefox 。我的问题是“有没有办法让firefox以base64 /二进制字符串格式播放音频文件?”ps:我知道firefox无法播放mp3,所以我尝试过…

ab压力测试_Apache ab压力测试的知识点

Apache-ab是著名的Web服务器软件Apache附带的一个小工具,它可以模拟多个并发请求,测试服务器的最大承载压力。ab 是apachebench的缩写,ab命令会创建多个并发访问线程,模拟多个访问者同时对某一URL地址进行访问。它的测试目标是基于URL的&…

现代云原生设计理念

前文传送门什么是云原生?现代设计理念你会如何设计云原生应用程序?需要遵循哪些原则、模式和最佳实践?需要特别关注哪些底层/操作?十二要素应用程序目前被普遍认可的基于云的方法论是"十二要素应用程序",它给…

NFS服务器架设篇

大家好,本周我们的课程是NFS服务器的架设。下面我们分几个部分来介绍NFS服务器。一、NFS简介NFS是分布式计算机系统的一部分,一般在用unix和类unix的系统上实现文件的传输。而且可以把NFS服务器共享的目录挂载到本地,使用cp,cd&am…

mysql 碎片率_MySQL数据碎片的整理和分析

MySQL具有相当多不同种类的存储引擎来实现列表中的数据存储功能。每当MySQL从你的列表中删除了一行内容,该段空间就会被留空。而在一段时间内的大量删除操作,会使这种留空的空间变得比存储列表内容所使用的空间更大。当MySQL对数据进行扫描时&#xff0c…

用画小狗的方法来解释Java中的值传递

在开始看我画小狗之前,咱们先来看道很简单的题目: 下面程序的输出是什么? 如果你的回答是“小强”,好,恭喜你答对了。下面我们改一下代码: 是的,我只是在changeName方法里面加了一句代码 这一次…

html怎么防止表单重复提交,js防止表单重复提交的解决方法

防止表单重复提交,通常会通过attachEvent在 form的onsubmit事件中写一个方法,每次触发该事件时执行该方法,可以给form增加一个submited属性,每次判断这个属性,为 false时继续提交表单并且设置form.submitedtrue&#x…

gif分解工具_Python之GIF图倒放,沙雕快乐源泉

GIF图现在已经融入了我们的日常网络生活,微信群、QQ群、朋友圈......一言不合就斗图,你怕了吗?不用担心,只要学会了Python之GIF倒放技能,你就是“斗图王”。咱们直接开始本文的内容!使用的工具1PIL(Python …

使用Forms Authentication实现用户注册、登录 (三)用户实体替换

使用Forms Authentication实现用户注册、登录 (三)用户实体替换 收藏IPrincipal和IIdentity通过查阅文档,我们可以看到HttpContext.User属性的类型是IPrincipal接口。然而我们知道,接口通常是不能直接访问的,其背后必定…

微软亚洲研究院全球院友线上欢聚,共话新春

金鼠辞旧岁,金牛报春时;万象正更新,乾坤喜气多。西雅图时间 2 月 6 日,北京时间 2 月 7 日,由微软亚洲研究院院友会西雅图分会主办的“牛转新运”院友新春线上茶话会圆满落幕。重量级嘉宾沈向洋、洪小文、张亚勤、张宏…

从串行线程封闭到对象池、线程池

今天讲一个牛逼而实用的概念,串行线程封闭。对象池是串行线程封闭的典型应用场景;线程池糅合了对象池技术,但核心实现不依赖于对象池,很容易产生误会。 本文从串行线程封闭和对象池入手,最后通过源码分析线程池的核心原…

华硕xhci灰色_xHCI模式作怪无法使用USB设备?解决办法这里有!

最近许多云骑士问题群里朋友向我们反映,自己的USB设备包括USB键盘、鼠标、外置网卡......在重装系统后不能使用了或是启动变慢了许多,那么安装完系统后无法使用USB设备怎么办?经过排查,我们发现这是因为intel xHCI模式设置的问题&#xff0c…

netty springmvc_springmvc源码架构解析之HandlerMapping

说在前面前期回顾sharding-jdbc源码解析 更新完毕spring源码解析 更新完毕spring-mvc源码解析 更新完毕spring-tx源码解析 更新完毕spring-boot源码解析 更新完毕rocketmq源码解析 更新完毕dubbbo源码解析 更新完毕netty源码解析 更新完毕spring源码架构更新完毕springmvc源码架…