|
一些普通的入侵后的审核 |
|
|
|
|
|
1,普通的LOG文件,如/var/log/messages 或者/var/adm/messages入侵者犯的第一个错误是摸去他们的IP地址和所有在这文件中可疑的信息或者防止LOG文件记录使用木马的痕迹,但往往他们没有检查他们第一个使用的缓冲溢出...如果他们通过一个mail/ftp/rpc服务来获得缓冲溢出而获得一定的权限时,其实在他们利用漏洞使用EXPLOIT时,一些有漏洞的服务会在其被杀时进程只前记录了他们的LOG了他们的活动,或者记录了他们一些前面几次没有成功入侵的记录。
2,正常的LOGIN
第二件事情是许多入侵者喜欢使用入侵后在系统上建立帐号,或者使用一些有些所使用的密码相对较弱的密码(他们可以通过CRACK获得一些弱的密码)来通过telnet,rsh等再次访问系统,虽然现在有对LOGIN进行处理来防止通过utmp和wtmp文件显示用户名,但要知道如果系统使用了tcp wrapper,tcp wrapper会记录所有通过如login设备连接的任何人的IP地址。通常多数入侵者还是喜欢使用login或者rsh来访问系统即使他们已经获得了ROOT权限和控制了所有系统。这是入侵者第二个错误。系统管理员最好设置tcp wrapper程序。
3,wtmp LOG文件
一般来说入侵者进入之后,通常的wtmp会被清除或者通过替换login程序来避免被WTMP记录,但有没有考虑到FTP守护程序呢?很少有人会对FTPD种下木马,但FTPD可以在没有syslog的帮助下记录在WTMP文件中,意思就是,如果入侵者从一台机器传送文件到另一台机器,并且调用了FTPD程序,在WTMP中就会增加一条关于连接的IP地址。
4, .bash_history, .sh_history
如果入侵者使用一个缓冲溢出派生了一个sh或者bash外壳,并且被入侵的系统上设置有HISTFILE 和HISTFILESIZE变量,或者入侵者执行了第二个SHELL(只要在连接后再打"sh"),他们就会在相应的目录中存在一个历史文件。这样的话,可以通过检查历史文件中的第一个命令获得一些信息,如源IP地址,因为入侵者往往入侵系统后第一件事情是ftp或者telnet回去自己的机器来抓去一些木马程序,后门或者其他工具。即使获得这个源IP地址也是一个被入侵的机器,但至少你有一个新的线索来跟踪。
5, WEB服务器访问记录
WEB服务器记录是一个非常容易忽略的地方,也是一个比较好获取追踪信息的地方,因为很多入侵者最大的错误是没有好好的清除WEB服务器的LOG文件,如apache的HTTPD的LOG记录在logs/*_log(相对于apache安装路径),从这些文件中你可以好好的查询入侵者的IP地址,或者查找一些你原来没有存放的程序,因为绝大多数入侵者会查找你所存在的CGI漏洞,或者安装新的CGI后门等。你可以把WEB服务器的LOG通过apache的设定放在自己想要放的地方,这样可以不让入侵者很容易的找到LOG记录,至少他们要仔细搜寻系统后才能清除记录。
6, coredumps
这是个比较复杂的方法,--通常守护程序通过SysV init脚本来启动,默认状态下不会coredump(核心倾倒),但源于安全性,许多用户喜欢手工启动象一些如HTTPD,BIND的程序,因而在exploit这些程序时,有时候会在它们当前工作目录下产生coredump,在exploit这些守护程序的漏洞时,许多服务会在socket上做一个getpeername工作并在内存上留下入侵者的IP地址,这可以通过GDB在core dump后在内存进程中的一些信息。
7, 代理服务器
如果你在所有主机之前有一个网关的代理服务器,可以方便的在代理服务器上跟踪审核,通明网关如plug-gw或者squid记录所有通过它们主机的连接,所以很容易查找一连接信息。
8,路由器记录
路由器在默认配置中不记录每一个连接,因为它的构造比较简单,但如果你在你的网络上设置一些访问控制的话,路由器可以帮助你追踪入侵者,例如,设置你的路由器只允许内部AS或者DMZ AS才能访问内部网,这样路由器会在拒绝所有其他请求时记录连接信息。
总结
许多入侵者由于懒或者疏忽,会留下这样那样的线索供你查询,管理员只要好好的检查就能找出系统的变化和一些入侵者所使用的IP地址,如一些tripwire等来查看系统的完整性,使用LOG-HOST或者一次性媒介来等来记录LOG信息,就能很好的获得入侵者不小心留下的线索。
BY XUNDI 错误难免,尽请指教2000-05-16
xundi1@21cn.com
在百度中查找更多一些普通的入侵后的审核 的内容
|
|
|
|
|
|
“ 一些普通的入侵后的审核 ”来源于网络,版权归作者所有!勿用于商业用途。 |
|
| |
本类阅读TOP10