首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Linux&Uinx > Unix操作系统入侵追踪反击战 > 正文

Unix操作系统入侵追踪反击战

出处:5DMail.Net收集整理 作者:5DMail.Net收集整理 时间:2007-12-23 20:55:33
  在Unix系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的服务器可在他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作机开始的,本篇介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。
 
  1.messages
 
  /var/adm是UNIX的日志目录(linux下则是/var/log)。有相当多的ASCII文本格式的日志保存之下,当然,让我们把焦点首先集中在messages 这个文件,这也是入侵者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记录对于我们是无用的。
 
  比如:
 
  Apr 25 21:49:30 2000 unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
 
  Apr 25 21:49:30 2000 unix: mem = 262144K (0x10000000)
 
  这样显示版权或者硬件信息的记录而:
 
  Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
 
  User not known to the underlying authentication module
 
  这样的登录失败记录:
 
  Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能入侵者已经帮我们做过了,;-)那样我们得不到任何有用信息)
 
  在下面这个网址你可以找到大量的日志审计分析工具或者脚:
 
  http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]
 
  2.wtmp,utmp logs,ftp日志
 
  你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时,何地telnet上主机,在黑客中最古老也是最流行的zap2(编译后的文件名一般叫做z2,或者是叫wipe)。 也是用来抹掉在这两个文件中用户登录的信息的,然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ),很多入侵者没有上载或编译这个文件,管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址(当然,这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名等等。不过由于该日志太明显,所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些。当然你可以 # cat /var/log/xferlog | grep -v 202.106.147.来查看那些不应该出现的地址。
 
  3.sh_history
 
  在获得root 权限后,入侵者建立了他们自己的入侵帐号,更高级的技巧是给类似uucp,lp不常使用的系统用户名加上密码。在遭受入侵后,即使入侵者删除了。 sh_history或者。bash_hi-story 这样的文件,执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘,然后执行find / -name.sh_historyprint,仔细查看每个可疑的shell命令日志。尤其是当你在/usr/spool/lp(lp home dir),/usr/lib/uucp/(uucp home dir)这样的目录下找了。sh_history文件时。往往入侵者在需要目标机和工作机传送文件时为了避免被syslog,可能使用从目标机ftp到工作机的方法,因此在sh_history中你有可能发现类似ftp xxx.xxx.xxx.xxx或者rcpnobody@xxx.xxx.xxx.xxx:/tmp/backdoor /tmp/backdoor这样显示出入侵者IP或域名的命令。
 
  4.http服务器日志
 
  这很有可能是确定入侵者的真实攻击发源地的最有效方法。以最流行的apache服务器为例,在?${prefix}/logs/ 目录下你可以发现access.log这个文件,该文件记载了访问者的IP,访问的时间和请求访问的内容。在遭受入侵后,我们应该可以在该文件中发现类似下面的:record:xxx.xxx.xxx.xxx - - [28/Apr/2000:00:29:05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx - - [28/Apr/2000:00:28:57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404 -来自IP为xxx.xxx.xxx.xxx的某人在2000年4月28号的0点28分试图访问 /msads/Samples/SELECTOR/showcode.asp文件,这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器都是基于MS操作系统的,而为了更快的速度,使用基于Unix的扫描器的入侵者常选择离自己最近的服务器。结合攻击时间和IP,我们可以知道入侵者的大量信息。
 
  5.核心dump
 
  这是一种相对较复杂的方法,但是也有效。一个安全稳定的守护进程在正常运行的时候是不会dump出系统的核心,当入侵者利用远程漏洞攻击时,许多服务正在执行一个getpeername的 socket 函数调用(参见socket编程),因此入侵者的IP也保存在内存中,此时服务overflow ,系统p 内存页文件被dump到core文件,这意味着你可能在一大段杂乱无章的字符中(事实上是一个全局数据库中的进程变量)找到一个包含有执行此 expoloit的IP.BTW: 这段是参考了http://members.tripod.com/mixtersecurity/paper.html后写出的,我做了一个cmsd的远程攻击测试,但只在中间找到了入侵者远程overflow的部分命令,没有找到IP.不过这仍有理由相信Mixter(paper.html的作者)的话。
 
  6.代理服务器日志
 
  代理是大中型企业网常使用来做为内外信息交换的一个接口,它忠实地记录着每一个用户所访问的内容,当然,也包括入侵者的访问内容。以最常用的 squid代理为例,通常你可以在/usr/local/squid/logs/下找到access.log 这个庞大的日志文件,当然,由于日志记录添加得很快,在安全事故后应该及时备份它。你可以在以下地址获得squid的日志分析脚本:http: //www.squid-cache.org/Doc/Users-Guide/added/stats.html通过对敏感文件访问日志的分析,可以知道何人在何时访问了这些本该保密的内容。
 
  7.路由器日志
 
  默认方式下路由器不会记录任何扫描和登录,因此入侵者常用它做跳板来进行攻击。如果你的企业网被划分为军事区和非军事区的话,添加路由器的日志记录将有助于日后追踪入侵者。更重要的是,对于管理员来说,这样的设置能确定攻击者到底是内贼还是外盗。当然,你需要额外的一台服务器来放置 router.log文件。
 
  在CISCO路由器上:
 
  router(config)# logging faclity syslog
 
  router(config)# logging trap informational
 
  router(config)# logging [服务器名]
 
  在log server上:
 
  I.在/etc/syslog.conf中加入一行:
 
  *.info /var/log/router.log
 
  II.生成文件日志文件:
 
  touch /var/log/router.log
 
  III.重起syslogd进程:
 
  kill -HUP `cat /var/run/syslogd.pid`
 
  对于入侵者来说,在实施攻击的整个过程中不与目标机试图建立tcp连接是不太可能的,这里有许多入侵者主观和客观的原因,而且在实施攻击中不留下日志也是相当困难的。如果我们花上足够的时间和精力,是可以从大量的日志中分析出我们希望的信息。就入侵者的行为心理而言,他们在目标机上取得的权限越大,他们就越倾向于保守的方式来建立与目标机的连接。仔细分析早期的日志,尤其是包含有扫描的部分,我们能有更大的收获。
 
  日志审计只是作为入侵后的被动防御手段。主动的是加强自身的学习,及时升级或更新系统。做到有备无患才是最有效的防止入侵的方法。
相关文章 热门文章
  • Domino V8 在 UNIX/Linux 平台上的安装及其常见问题
  • Linux/Unix下ODBC的安装、配置与编程
  • 系统安全之谈谈Linux和Unix下的病毒
  • 实现Windows与Unix、Linux间数据交换
  • simp server for unix 配置教程
  • SCO UNIX操作系统下建立电子邮件服务器
  • FoxMailServer for Unix邮件系统加域的工作流程
  • UNIX 派生系统:NetBSD 入门
  • 构建SCO UNIX下的邮件系统
  • IBM专家解析UNIX和Windows之间区别
  • 使用 UNIX 进行文本处理
  • AMaViS一个 UNIX 下查病毒的邮件网关
  • linux的基本操作(上)
  • Linux系统下应用知识大荟萃
  • GNU GRUB启动管理器
  • 制作基于软盘的Linux系统
  • 网络配置文件快速解读
  • linux的基本操作(下)
  • 剖析Linux系统启动过程
  • DameWare让局域网管理不再繁琐
  • 在Redhat 9下实现双机热备和集群功能
  • LINUX守护进程介绍
  • Redhat advance server 2.1集群的安装与管理
  • Linux必须学会的60个命令-文件处理
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号