4. 检查日志文件 检查日志文件会帮助你确认系统是如何被入侵的,在入侵时发生了什么事情,访问你计算机的远程主机是谁.但是要知道被入侵系统中的任何日志信息都有可能被入侵者修改过。 在UNIX系统上,应该先看看/etc/syslog.conf文件,确定syslog在哪里记录事件.NT系统通常向NT事件三个日志中的一个记录每件事情,所有这些可以通过事件查看器来检查.其他NT应用程序比如IIS服务器可能记录到其他地方,IIS服务器缺省的日志是在c:\wi t\system32\logfiles 下面列出了一些通用UNIX日志文件名,它们的功能和文件的内容.这些日志文件是否在系统中存在,依赖于系统的配置。 me ages
me ages日志包含相当广泛的信息.查看该文件中的异常情况.超越常理的任何事情都应该被查出来,在入侵发生时间附近的事件应该仔细检查。 xferlog
如果被入侵的系统有FTP服务器功能, xferlog会记录所有传输的文件名.这有助于发现入侵者上载到系统中的工具,也能发现从你系统中下载的内容。 utmp
这个文件包含当前登录在系统上每一位用户的信息(二进制格式).这个文件仅在确定当前有哪些用户登录时有用.通过who命令可以得到其中的内容。 wtmp
用户每一次成功的登录,退出,系统重启,wtmp文件都会被修改.这是一个二进制文件;因此需要使用工具来从文件中获取有用的信息.last就是这样一种工具.last的输出包含一个表,表中记录了用户名,相关登录时间和来源主机.在这个文件中检查可疑连接(比如从未授权主机),这些信息可以用于确定是否还有其他主机受到影响以及系统中究竟有哪些账号被破解使用。 secure
某些版本的UNIX(比如RedHat Linux)向secure日志文件中记录tcpwra er消息.每次当一个从inetd派生并使用tcpwra er启动的服务连接建立时,该文件中会添加一条日志消息。 查看这个文件时,注意那些对不常用服务的访问或从不熟悉主机来的连接等异常情况。 查看日志文件时要注意那些不寻常的记录项。 5.查看是否有网络 iffer 的标记 当系统入侵发生时,入侵者可以在UNIX系统上暗地里安装一个网络监视程序,通常称为 iffer(or acket iffer),用于捕获用户账号和密码信息.对于NT系统,为达到相同目的,通常更多地使用远程管理程序。 检查 iffer是否被安装到系统中的第一步是看看是否有进程把任何网络设备置成混杂(promiscuous)模式.如果任一网络设备处于混杂模式,那系统中就有 iffer程序.如果在发现入侵的时候就重启机器或在单用户模式下操作,就不可能探测到处于混杂模式的网卡。 为此有一些工具可以使用。
cpm - UNIX
ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/ ifstatu - UNIX
ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/
(ifconfig -i命令也可以报告网卡状态) 注意某些合法的网络监视和协议分析器会将网卡置成混杂模式.探测到某块网卡处于混杂模式并不就一定意味着系统中有入侵者的 iffer在运行. iffer的记录文件大小通常会很快增长,使用诸如df之类的工具可以确定文件系统的哪部分增长超过预期记住df,ifconfig,netstat这些命令通常在黑客安装 iffer程序的时候都被木马替换掉了,要使用干净的工具来检查网卡状态。 如果在系统中发现了 iffer,强烈建议检查 iffer的输出文件,以确定还有哪些主机处于危险境地.处于危险境地的主机是指那些出现在被捕获数据包目的域中的主机.但是如果口令跨系统使用或者源目的主机相互信任,则源主机也处于危险境地。
许多常用的 iffer会象下面这样记录每个连接:
-- TCP/I LOG -- TM: Tue ov 15 15:12:29 --
PATH: ot_at_risk.domain.com(1567) =