注册
个人空间
假设你是一位使用solaris操作系统的网站管理员,有一天你无意中在你硬盘/var/adm目录下messages文件中看到了如下类似内容:
Apr 24 20:31:04 nmssa /usr/dt/bin/rpc.ttdbserverd[405]: _Tt_file_system::findBest
MountPoint -- max_match_entry is null, aborting…
Apr 24 20:31:05 nmssa inetd[140]: /usr/dt/bin/rpc.ttdbserverd: Segmentation Faul
t - core dumped
知道这意味着什么吗?你的系统已有至少99%的可能性被侵入!
目前使用solaris的系统管理员都知道在/var区下有个目录adm,在这个目录下有messags,syslog,sulog,utmp等诸多日志文件,它们记录着solaris系统产生的各种消息日志。从系统管理员的角度来讲,清楚的理解各个日志文件的功能及作用是很有必要的,在系统发生安全问题时,这些日志纪录可以在一定意义上起到帮助和诊断作用。
我们来依次看看Adm目录下的主要文件。
adm/messags
我们先来看最为重要的messages文件, messages记载来自系统核心的各种运行日志,包括各种精灵,如认证,inetd等进程的消息及系统特殊状态,如温度超高等的系统消息,可以说它是系统最重要的日志之一。 messages可以记载的内容是由/etc/syslog.conf决定的,有兴趣的读者可以使用man syslog.conf命令来做一个详细了解,这里就不介绍了。就安全的角度来讲,目前互联网上入侵者采用的手段大多数是利用系统的漏洞,而当入侵者试图利用漏洞对你的服务器进行攻击时,在服务器的messages文件中一般会留下一些异常的内容,如本文最开始描述的部分,就是目前互联网上入侵者使用rpc.ttdbserver漏洞攻击所留下的痕迹,它是solaris最为臭名昭著的一个系统漏洞,入侵者利用这个漏洞可以轻松的从远端得到超级用户权限,但这种攻击不是干净的入侵攻击,它会在messages下留下记录,同时会在根目录下生成core文件,如果细心的管理员经常检查系统日志,是不难发现有入侵者或入侵企图的,又比如下面的纪录:
Apr 24 11:26:25 unix.secu.com ftpd[7261]: anonymous (bogus) LOGIN FAILED [from 11.22.33.46]
Apr 24 11:27:23 unix.secu.com ftpd[7264]: 163 (bogus) LOGIN FAILED [from 11.22.33.49]
Apr 24 11:28:44 unix.secu.com ftpd[7265]: abc (bogus) LOGIN FAILED [from 11.22.33.46]
管理员可以从上述纪录中可以清楚看到在24日11点26, 11点27, 11点28分有可疑用户在猜主机的ftp口令,它们的来源ip 分别是 11.22.33.46和11.22.33.49。
adm/sulog
sulog中记载着普通用户尝试su成为其它用户的纪录。它的格式为: 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户,我们截取一部分实际内容,来看一下:
SU 04/15 16:35 + pts/6 yiming-root
SU 04/15 16:43 + pts/4 root-yiming
SU 04/17 08:20 - pts/5 cheny-root
SU 04/18 16:36 - pts/4 cheny-root
SU 04/19 02:57 + pts/11 lizhao-root
SU 04/19 19:57 + pts/11 cys-root
SU 04/21 08:20 - pts/4 cheny-root
SU 04/21 16:36 - pts/8 cheny-root
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 介绍 日志 回复 用户 管理员 系统 入侵 文件 这个 可以 |
