看过很多关于入侵的文章在讲到清除日志时都只是简单指出删除哪些文件,或使用wipe等工具。我想这样不太好。我认为有必要了解一些日志记账方面的流程及工作原理。这样才不失一个黑客的本义。那句话怎么说来着?知己知彼,百战不殆。
UNIX系统的日志记录功能非常强大,尤其是solaris.在这方面VMS更是有过之而无不及。
几乎所有的UNIX系统都使用syslogd守护进程进行系统记录,当然也包括linux。我们可以找到/etc/syslog.conf这个文件,它由一系列定义消息发送的行组成。以#开头的是注释行。
syslog.conf行的基本语法是:
[消息类型][处理方案]
注意:中间的分隔符必须是Tab字符!!
消息类型是由\"消息来源\"和\"紧急程度\"构成,中间用点号连接。举个例子大家就明白了。如:kern.alert表示来自内核的\"紧急\"状况。在这里,kern是消息来源,alert代表紧急程度。通配符*可以代表一切消息来源。
简单列一下消息来源和紧急程度:
---------------------------------------------------------------------
消息来源: 紧急程度:
kern 内核 emerg 极度恐慌!这是最高的紧急程度状态。
user 用户程序 alert 紧急状态。
daemon 系统守护进程 err 临界状态
mail 电子邮件系统(SMTP等) warning 警告
auth 和安全及权限相关的命令notice 出现不寻常的事情
lpr 打印机 info 一般性消息
---------------------------------------------------------------------
下面介绍一下\"处理方案\",希望喜欢入侵的朋友好好看一看。也许在你不知不觉中已被记录了下来,所以谨慎也是必要的。毕竟并不是所有的网管都像想象中那么白痴。\"处理方案\"选项可以对syslogd日志进行处理。可以把它存入硬盘,转发到另一台机器或显示在管理员的终端上。
处理方案一览:
---------------------------------------------------------------------
文件名 写入某个文件,要注意绝对路径。
@主机名 转发给另外一台主机的syslogd程序
@IP地址 同上,只是用IP地址标识而已
/dev/console 发送到本地机器屏幕上(恐怖吧?)
* 发送到所有用户的终端上
|程序 通过管道转发给某个程序
-------------------------------------------------------------------
我们来分析一个实例:
#/etc/syslog.conf
kern.emerg
/dev/console(一旦发生核心恐慌,立刻把信息显示在主控台上)
或
*.alert(一旦发生紧急事件,把消息发送给所有用户)
到这里大家应该对syslog有一定了解了,我就不再多废话了:)
如果想修改syslogd的记录文件,首先你必须杀掉syslogd进程,在修改完毕后再启动syslogd.
攻击者进入系统后通常立刻修改系统日志,因此作为网管你应该用一台机器专门处理日志信息,其他机器的日志自动转发到它上面,这样日志信息一旦产生就立刻被转移,这样就可以正确记录攻击者的行为。还有就是要定期查找setuid到root的程序等,题外话了。
希望入侵者和一些网管好好看看此文。请大家一起为完善我们的网络而努力。
