SU 04/15 16:35 + pts/6 yiming-root
SU 04/15 16:43 + pts/4 root-yiming
SU 04/17 08:20 - pts/5 cheny-root
SU 04/18 16:36 - pts/4 cheny-root
SU 04/19 02:57 + pts/11 lizhao-root
SU 04/19 19:57 + pts/11 cys-root
SU 04/21 08:20 - pts/4 cheny-root
SU 04/21 16:36 - pts/8 cheny-root
SU 04/22 15:23 - pts/5 cheny-root | 对管理员来讲,需要密切关注两种用户,第一是反复su失败的,如以上cheny用户,他有猜超级用户口令的嫌疑。第二是在不正常时间的su纪录,如上述第六行用户lizhao,随然他正确的输入了口令(在第四列中有+号)但02:57分这个时间比较可疑,这是一个管理员不大可能工作的时间,要知道,入侵者可能安装过sniffer之类的软件,并利用它窃取到了超级用户口令,为了进一步做工作,如窃取主机敏感数据,入侵者需要进行比较复杂的操作,但在白天这个系统管理员活动的时间被发现的可能性是比较大的,所以即使入侵者得到了高权限的密码,一般也会选择深夜等管理员一般不工作的时间。这些时候没有人会抓他。
adm/utmp,utmpx
这两个文件是不具可读性的,它们记录着当前登录在主机上的用户,管理员可以用w,who等命令来看,下面为who的输出结果,
yiming pts/29 Jun 12 09:24 (11.22.33.44)
yiming pts/28 Jun 12 08:41 (11.22.33.43)
guest pts/30 Jun 12 09:26 (penetrate.hacker.com)
root pts/19 Jun 12 08:19 (:0.0) |
它的输出很简单,每行依次为用户,pts号,时间,来源地点。当管理员觉得系统表现可疑时,一般会用这两个命令来看当前用户,如果在输出中有不正常的用户名,或是来源ip较为可疑,则管理员需要引起注意了。如上述guest这个用户就比较可疑,虽然这个用户名guest是合法的,但这个用户的来源 penetrate.Hacker.com看起来可是不太对劲。系统管理员有必要监视一下这个用户的行为。有一点要注意,管理员不能完全相信w,who及下面提到的last命令所报告的结果,使用特定的擦除日志软件,如zap之类入侵者可以很轻松的抹掉入侵者的踪迹,一个聪明的入侵者一般会将编译好的擦除软件传到受害主机,并在侵入系统后马上做擦除工作,比如他在受害主机执行zap,如下,
./zap -v guest
- WTMP:
WTMP = /var/adm/wtmp
Removing user guest at pos: 131328
Done!
- UTMP:
UTMP = /var/adm/utmp
Removing user guest at pos: 864
Done!
- LASTLOG:
LASTLOG = /var/adm/lastlog
User guest has no wtmp record。 Zeroing lastlog。。
- WTMPX:
WTMPX = /var/adm/wtmpx
Done!
- UTMPX:
UTMPX = /var/adm/utmpx
Done!
|
此时,在用w看时,我们看看发生了什么变化?
yiming pts/29 Jun 12 09:24 (11.22.33.44)
yiming pts/28 Jun 12 08:41 (11.22.33.43)
|
注册
个人空间
