相关文章
北京网站建设教你新站获取外部链接的五大方法
网页设计中国领袖企业够格吗?
网站建设口碑类网站的崛起 将主导消费者
网页设计个体小站长的喜与忧
网站建设三招两势救活daqi网
企通互联地区门户论坛的有效宣传方法
北京网站建设怎样使MySQL更安全
北京网站设计我的15万IP网站月赚7万人民币
网站设计好的互联网项目要具备三个核心要点
网站制作个人网站要在不同时机满足不同的用户
品牌理念
北京网站建设最佳合作伙伴
北京网站建设专家企通互联
竭诚为您提供网站建设服务!
友好连接
文章搜索
你的位置:首页 >> 网站建设 >> 企通互联网站制作Unix的入侵追踪
企通互联网站制作Unix的入侵追踪
作者: 北京网站建设 日期:2008-03-27 06:04:51 来源: http://www.qitongnet.com
在 网站制作*NIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的服务器可在他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作机开始的,本篇介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。 北京网站设计
企通互联
1.messages 北京网站设计
北京网站建设
/var/adm是Unix的日志目录(Linux下则是/var/log)。有相当多的ASCII文本格式的日志保存之下,当然 ,让我们把焦点首先集中在messages 这个文件,这也是入侵者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记录对于我们是无用的。 北京网页设计 北京网站建设
比如: 网站制作
Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc. 网站建设
Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000) 北京网站制作
网站制作
这样显示版权或者硬件信息的记录而: 网站制作
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx , 网站制作
User not known to the underlying authentication module 网站设计
网站制作
这样的登录失败记录 www.qitongnet.com: 网站设计
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 网页设计 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能入侵者已经帮我们做过了,;-)那样我们得不到任何有用信息) 北京网站建设
企通互联
在下面这个网址你可以找到大量的日志审计分析工具或者脚: 北京网站设计
http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20] 网站建设
北京网站设计
2.wtmp,utmp logs,ftp日志 网站建设
北京网站建设
你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时,何地telnet上主机, 在黑客中最古老也是最流行的zap2(编译后的文件名一般叫做 北京网站制作z2,或者是叫 北京网站建设wipe). 也是用来抹掉在这两个文件中用户登录的信息的,然而由于懒惰或者糟糕的网络速度(>3秒的 企通互联echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ) 网站设计,很多入侵者没有上载或编译这个文件,管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址( 当然,这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名等等。不过由于该日志太明显,所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可以# cat /var/log/xferlog grep -v 202.106.147.来查看那些不应该出现的地址。
网站建设
企通互联
1.messages 北京网站设计
北京网站建设
/var/adm是Unix的日志目录(Linux下则是/var/log)。有相当多的ASCII文本格式的日志保存之下,当然 ,让我们把焦点首先集中在messages 这个文件,这也是入侵者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记录对于我们是无用的。 北京网页设计 北京网站建设
比如: 网站制作
Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc. 网站建设
Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000) 北京网站制作
网站制作
这样显示版权或者硬件信息的记录而: 网站制作
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx , 网站制作
User not known to the underlying authentication module 网站设计
网站制作
这样的登录失败记录 www.qitongnet.com: 网站设计
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 网页设计 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能入侵者已经帮我们做过了,;-)那样我们得不到任何有用信息) 北京网站建设
企通互联
在下面这个网址你可以找到大量的日志审计分析工具或者脚: 北京网站设计
http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20] 网站建设
北京网站设计
2.wtmp,utmp logs,ftp日志 网站建设
北京网站建设
你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时,何地telnet上主机, 在黑客中最古老也是最流行的zap2(编译后的文件名一般叫做 北京网站制作z2,或者是叫 北京网站建设wipe). 也是用来抹掉在这两个文件中用户登录的信息的,然而由于懒惰或者糟糕的网络速度(>3秒的 企通互联echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ) 网站设计,很多入侵者没有上载或编译这个文件,管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址( 当然,这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名等等。不过由于该日志太明显,所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可以# cat /var/log/xferlog grep -v 202.106.147.来查看那些不应该出现的地址。
责任编辑:飞翔的鱼 QQ:35996213