Unix的入侵追踪

敬业的IT人互联网佚名 2008-4-22 23:06:36

在UNIX系统遭受入侵后，确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的服务器可在他们发动正式攻击前所做的目标信息收集工作（试探性扫描）常常是从他们的工作机开始的，本篇介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。

1.messages

/var/adm是UNIX的日志目录（linux下则是/var/log）。有相当多的ASCII文本格式的日志保存之下，当然，让我们把焦点首先集中在messages 这个文件,这也是入侵者所关心的文件，它记录了来自系统级别的信息。在这里，大量的日志记录对于我们是无用的。

比如:

Apr 25 21:49:30 2000 unix: Copyrig?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]

2.wtmp,utmp logs,ftp日志

你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时，何地telnet上主机，在黑客中最古老也是最流行的zap2(编译后的文件名一般叫做z2，或者是叫wipe). 也是用来抹掉在这两个文件中用户登录的信息的，然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃，而我经常遇见10 倍于此的回显时间 )，很多入侵者没有上载或编译这个文件，管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址（当然，这个地址有可能是他们的一个跳板）ftp日志一般是/var/log/xferlog，该文本形式的文件详细的记录了以FTP 方式上传文件的时间，来源，文件名等等。不过由于该日志太明显，所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可以# cat /var/log/xferlog | grep -v 202.106.147.来查看那些不应该出现的地址。

3.sh_history

在获得root 权限后，入侵者建立了他们自己的入侵帐号，更高级的技巧是给类似uucp，lp不常使用的系统用户名加上密码。在遭受入侵后，即使入侵者删除了.sh_history或者.bash_hi-story 这样的文件，执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘，然后执行find / -name.sh_historyprint，仔细查看每个可疑的shell命令日志。尤其是当你在/usr/spool/lp(lp home dir),/usr/lib/uucp/(uucp home dir)这样的目录下找了.sh_history文件时。往往入侵者在需要目标机和工作机传送文件时为了避免被syslog,可能使用从目标机ftp到工作机的方法，因此在sh_history中你有可能发现类似ftp xxx.xxx.xxx.xxx或者rcpnobody@xxx.xxx.xxx.xxx:/tmp/backdoor /tmp/backdoor这样显示出入侵者IP或域名的命令。

5.后写出的，我做了一个cmsd的远程攻击测试，但只在中间找到了入侵者远程overflow的部分命令，没有找到IP。不过这仍有理由相信Mixter(paper.通过对敏感文件访问日志的分析，可以知道何人在何时访问了这些本该保密的内容。

8.路由器日志

默认方式下路由器不会记录任何扫描和登录，因此入侵者常用它做跳板来进行攻击。如果你的企业网被划分为军事区和非军事区的话，添加路由器的日志记录将有助于日后追踪入侵者。更重要的是，对于管理员来说，这样的设置能确定攻击者到底是内贼还是外盗。当然，你需要额外的一台服务器来放置router.log文件。

在CISCO路由器上:

router(config)# logging faclity syslog

router(config)# logging trap informational

router(config)# logging [服务器名]

在log server上：

I.在/etc/syslog.conf中加入一行:

*.info /var/log/router.log

II.生成文件日志文件：

touch /var/log/router.log

III.重起syslogd进程:

kill -HUP `cat /var/run/syslogd.pid`

对于入侵者来说，在实施攻击的整个过程中不与目标机试图建立tcp连接是不太可能的，这里有许多入侵者主观和客观的原因，而且在实施攻击中不留下日志也是相当困难的。如果我们花上足够的时间和精力，是可以从大量的日志中分析出我们希望的信息。就入侵者的行为心理而言，他们在目标机上取得的权限越大，他们就越倾向于保守的方式来建立与目标机的连接。仔细分析早期的日志，尤其是包含有扫描的部分，我们能有更大的收获。

日志审计只是作为入侵后的被动防御手段。主动的是加强自身的学习，及时升级或更新系统。做到有备无患才是最有效的防止入侵的方法。

进入讨论组讨论。

最新文章: HP-UNIX SAMBA 的安装及配置[04-22]; Unix系统和内核初始化过程[04-22]; 在UNIX/Linux下安装FastCGI的方式[04-22]; 初学入门系列：Unix常用函数1[04-22]; Windows寻求取代Unix、Linux[04-22]; UNIX 7.11 问题集锦[04-22]

相关文章: HP-UNIX SAMBA 的安装及配置[04-22]; Unix系统和内核初始化过程[04-22]; 在UNIX/Linux下安装FastCGI的方式[04-22]; 初学入门系列：Unix常用函数1[04-22]; Windows寻求取代Unix、Linux[04-22]; UNIX 7.11 问题集锦[04-22]