1. messages

　　/var/adm是UNIX的日志目錄(Linux下則是/var/log)。其中有相當多ASCII格式的日志文件，當然 ，讓我們把焦點首先集中在messages個文件上，這一般也是入侵者所關注的文件，它記錄了來自系統級別的信息。下面是顯示版權或者硬件信息的記錄信息：

　　Apr 29 19：06：47 www login[28845]： FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ，User not known to the underlying authentication module

　　這是登錄失敗的記錄信息： Apr 29 22：05：45 game PAM_pwdb[29509]： (login) session opened for user ncx by (uid=0)。

　　第一步應該是 Kill -HUP cat `/var/run/syslogd.pid`，當然，有可能入侵者已經做過了。

　　2. wtmp，utmp logs，FTP日志

　　你可以在/var/adm，/var/log，/etc目錄中找到名為wtmp，utmp的文件，這些文件記錄著用戶是何時、何地遠程登陸到主機上的，在黑客軟件中有一個最老也是最流行的zap2(編譯后的文件名一般叫做z2，或者叫wipe)，也是用來“抹”掉在這兩個文件中用戶登錄的信息的，然而由于懶惰或者網絡速度過于緩慢，很多入侵者沒有上載或編譯這個文件。管理員可以使用lastlog這個命令來獲得入侵者上次連接的源地址(當然，這個地址有可能是他們的一個跳板)。FTP日志一般是/var/log/xferlog，該文件詳細的記錄了以FTP 方式上傳文件的時間、來源、文件名等等，不過由于該日志太明顯，所以稍微高明些的入侵者幾乎不會使用F

齊魯電影網[www.aikan.tv/special/qiludianyingwang/]TP來傳文件，他們一般使用的是RCP。

 

　　3. sh_history

　　獲得 root 權限后，入侵者就可以建立他們自己的入侵帳號，更高級的技巧是給類似 uucp，lp 等不常使用的系統用戶名加上密碼。在遭受入侵后，即使入侵者刪除了.sh_history 或者.bash_hi-story 這樣的文件，執行kill -HUP `cat /var/run/inetd.conf`即可將保留在內存頁中的bash命令記錄重新寫回到磁盤，然后可執行find / -name.sh_historyprint，仔細查看每個可疑的 shell 命令日志。你可在/usr/spool/lp(lp home dir)，/usr/lib/uucp/等目錄下找到.sh_history 文件，還有可能在其中發現類似 FTP xxx.xxx.xxx.xxx 或者[email protected]：/tmp/backdoor /tmp/backdoor這樣能顯示出入侵者IP或域名的命令。

　　4. HTTP服務器日志

　　這是確定入侵者的真實攻擊發源地址的最有效方法了。以最流行的html' target='_blank'>Apache服務器為例，在$/logs/目錄下你可以發現access.log這個文件，該文件記載了訪問者的IP，訪問的時間和請求訪問的內容。在遭受入侵后，我們應該可以在該文件中發現類似下面的信息： record：xxx.xxx.xxx.xxx[28/Apr/2000：00：29：05 -0800] "GET/cgi-bin/rguest.exe"404 -xxx.xxx.xxx.xxx[28/Apr/2000：00：28：57 -0800] "GET /msads/Samples/SELECTOR/showcode.asp" 404

　　這表明是來自 IP 為 xxx.xxx.xxx.xxx的入侵者在 2000 年 4 月 28 號的 0 點 28 分試圖訪問/msads/Samples/SELECTOR/showcode.asp文件，這是在使用web cgi掃描器后遺留下的日志。大部分的web掃描器的入侵者常選擇離自己最近的服務器。結合攻擊時間和IP，我們就可以知道入侵者的大量信息。

　　5. 核心dump

　　一個安全穩定的守護進程在正常運行的時候是不會“dump”出系統的核心的，當入侵者利用遠程漏洞攻擊時，許多服務正在執行一個getpeername的socket 函數調用，因此入侵者的IP也保存在內存中。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。