Unix如何從遭受入侵的系統的日志中分析出入侵者的IP

本篇內容介紹了“Unix如何從遭受入侵的系統的日志中分析出入侵者的IP”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

雖然在大多數入侵者懂得使用曾被他們攻陷的機器作為跳板來攻擊你的服務器可在他們發動正式攻擊前所做的目標信息收集工作（試探性掃描）常常是從他們的工作機開始的，本篇介紹如何從遭受入侵的系統的日志中分析出入侵者的IP并加以確定的。
1.messages
　　/var/adm是Unix的日志目錄（Linux下則是/var/log）。有相當多的ASCII文本格式的日志保存之下，當然 ，讓我們把焦點首先集中在messages 這個文件,這也是入侵者所關心的文件，它記錄了來自系統級別的信息。在這里，大量的日志記錄對于我們是無用的。
　　比如:
　　Apr 25 21:49:30 2000 Unix: Copyright (c) 1983-1997, Sun Microsystems, Inc.
　　Apr 25 21:49:30 2000 Unix: mem = 262144K (0x10000000)
　　這樣顯示版權或者硬件信息的記錄而:
　　Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
　　User not known to the underlying authentication module
　　這樣的登錄失敗記錄:
　　Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步應該是 Kill -HUP cat `/var/run/syslogd.pid`（當然，有可能入侵者已經幫我們做過了，;-)那樣我們得不到任何有用信息）
　　在下面這個網址你可以找到大量的日志審計分析工具或者腳:
　　http://www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]
2.wtmp,utmp logs,ftp日志
　　你能夠在/var/adm,/var/log,/etc目錄中找到名為wtmp,utmp的文件,這記錄著用戶何時，何地telnet上主機， 在黑客中最古老也是最流行的zap2(編譯后的文件名一般叫做z2，或者是叫wipe). 也是用來抹掉在這兩個文件中用戶登錄的信息的，然而由于懶惰或者糟糕的網絡速度(>3秒的echo就令人崩潰，而我經常遇見10 倍于此的回顯時間 )，很多入侵者沒有上載或編譯這個文件，管理員所需要就是使用lastlog這個命令來獲得入侵者上次連接的源地址（ 當然，這個地址有可能是他們的一個跳板）ftp日志一般是/var/log/xferlog，該文本形式的文件詳細的記錄了以FTP 方式上傳文件的時間，來源，文件名等等。不過由于該日志太明顯，所以稍微高明些的入侵者幾乎不會使用該方法來傳文件。而使用rcp的較普遍些.當然你可以# cat /var/log/xferlog grep -v 202.106.147.來查看那些不應該出現的地址。

“Unix如何從遭受入侵的系統的日志中分析出入侵者的IP”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！