服务器日志攻击溯源查找入侵者

        日志溯源的话第一个是用户认证时产生的日志。这些还有相关的,还有就是 FTP服务的,还有邮件相关的,还有用户相关的等等,就是每个类型都不太一样。然后除了类型这里有一个预制的优先级,有紧急情况下的,还有就是危急情况下的,一般还有警告。它的优先级情况是这样的,然后的话就是常用的日志文件它都放在哪里,它放在var下面的log下面。然后的话它每一个文件的话对应它记录的是不太一样的,这里是FTP的日志,然后还有一些是登录用户的日志,有安全相关的日志的地方,然后还有登录不成功的,然后我们我们比较重要的就是看一下这个登录不成功的账号,例如黑客来登录的话肯定会猜测,猜测出来肯定就有不成功的时候,所以我们会一般都会看这个文件,看看有没有断被黑客删除掉的,有一些是删除掉了,我们就无法查看了。

然后还有一个是日志的配置,像系统日志相关的配置文件是在文件下面,以下是配置文各项的配置,就像认证就是放在安全这里,这个路径这里还有其他的日志,就放在user这里,EMAIL这里,就是刚才所说的每个路径,这里每个路径,然后对应的是每一个它的相关的类型,一一对应的。

然后接下来讲几个命令,几个命令就是大概为什么是秘密,我们不直接去打开文件来看,因为存放在日志里面的文件是一个二进制的保存的文件,我直接打开的话,我们是打开看不了的,然后我们可以使用一些命令来查看。例如这个命令是 Last,last命令是用于查询成功登录到的系统的用户记录,看有没有成成功的登录的用户记录。

还有最近登录的情况都会显示在上面,我们可以通过这个命令掌握到你主机上的登录情况。如果发现没有授权的用户的登录过的话,则表示这个主机很可能是已经被入侵过了。你没有授权,但是发现为什么我又登录了,肯定是被入侵了。然后我现在演示一下,先要有系统权限才可以。那 Last一条命令是挺简单的。

然后你看一下,最近我的是kaili个名字来登录,然后登录的时间星期五,具体的时间,还有接着后来还有重启了,我一般都是用kaili来登录的,然后在kaili上面操作,然后这个命令就是查看他的它的登录情况,成功登录的情况,这个跟刚才那个有什么不一样,刚才这个没有b,后面加一个b,加一个b就是用于它是新用户,就是用于查询登录失败的用户。如果登录的用户名错误或者密码不正确的情况都将会记录,登录失败的情况属于安全事件,所以表示有可能有人在尝试破解你的密码或者猜测你的密码。

我们来看一下。好,这里有一条,有一条是登录失败的,也是用kaili。这条是我上午的时候故意写错的,然后做一下测试,然后他就出现在这里了。我现在再测试一下,先把它注销掉,然后我就用随便写一个a的命123,然后密码乱写,然后登录一次,失败了,然后再看下日志里的信息就能看到失败的登录用户记录了。

分享: