solaris日志介绍
假设你是一位使用solaris操作系统的网站管理员,有一天你无意中在你硬盘/var/adm目录下messages文件中看到了如下类似内容:
Apr 24 20:31:04 nmssa /usr/dt/bin/rpc.ttdbserverd[405]: _Tt_file_system::findBest |
知道这意味着什么吗?你的系统已有至少99%的可能性被侵入!
目前使用solaris的系统管理员都知道在/var区下有个目录adm,在这个目录下有messags,syslog,sulog,utmp等诸多日志文件,他们记录着solaris系统产生的各种消息日志。从系统管理员的角度来讲,清晰的理解各个日志文件的功能及作用是非常有必要的,在系统发生安全问题时,这些日志纪录能在一定意义上起到帮助和诊断作用。
我们来依次看看Adm目录下的主要文件。
adm/messags |
我们先来看最为重要的messages文件, messages记载来自系统核心的各种运行日志,包括各种精灵,如认证,inetd等进程的消息及系统特别状态,如温度超高等的系统消息,能说他是系统最重要的日志之一。 messages能记载的内容是由/etc/syslog.conf决定的,有兴趣的读者能使用man syslog.conf命令来做一个周详了解,这里就不介绍了。就安全的角度来讲,目前互连网上入侵者采用的手段大多数是利用系统的漏洞,而当入侵者试图利用漏洞对你的服务器进行攻击时,在服务器的messages文件中一般会留下一些异常的内容,如本文最开始描述的部分,就是目前互连网上入侵者使用 rpc.ttdbserver漏洞攻击所留下的痕迹,他是solaris最为臭名昭著的一个系统漏洞,入侵者利用这个漏洞能轻松的从远端得到终极用户权限,但这种攻击不是干净的入侵攻击,他会在messages下留下记录,同时会在根目录下生成core文件,如果细心的管理员经常检查系统日志,是不难发现有入侵者或入侵企图的,又比如下面的纪录:
Apr 24 11:26:25 unix.secu.com ftpd[7261]: anonymous (bogus) LOGIN FAILED [from 11.22.33.46] |
管理员能从上述纪录中能清晰看到在24日11点26, 11点27, 11点28分有可疑用户在猜主机的ftp口令,他们的来源ip 分别是 11.22.33.46和11.22.33.49。
adm/sulog |
sulog中记载着普通用户尝试su成为其他用户的纪录。他的格式为: 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户
我们截取一部分实际内容,来看一下:
SU 04/15 16:35 + pts/6 yiming-root |
对管理员来讲,需要密切关注两种用户,第一是反复su失败的,如以上cheny用户,他有猜终极用户口令的嫌疑。第二是在不正常时间的su纪录,如上述第六行用户lizhao,随然他正确的输入了口令(在第四列中有+号)但02:57分这个时间比较可疑,这是个管理员不大可能工作的时间,要知道,入侵者可能安装过sniffer之类的软件,并利用他窃取到了终极用户口令,为了进一步做工作,如窃取主机敏感数据,入侵者需要进行比较复杂的操作,但在白天这个系统管理员活动的时间被发现的可能性是比较大的,所以即使入侵者得到了高权限的密码,一般也会选择深夜等管理员一般不工作的时间。这些时候没有人会抓他。
adm/utmp,utmpx
这两个文件是不具可读性的,他们记录着当前登录在主机上的用户,管理员能用w,who等命令来看,下面为who的输出结果,
yiming pts/29 Jun 12 09:24 (11.22.33.44) |
他的输出非常简单,每行依次为用户,pts号,时间,来源地点。当管理员觉得系统表现可疑时,一般会用这两个命令来看当前用户,如果在输出中有不正常的用户名,或是来源ip较为可疑,则管理员需要引起注意了。如上述guest这个用户就比较可疑,虽然这个用户名guest是合法的,但这个用户的来源 penetrate.Hacker.com看起来可是不太对劲。系统管理员有必要监视一下这个用户的行为。有一点要注意,管理员不能完全相信w,who及下面提到的last命令所报告的结果,使用特定的擦除日志软件,如zap之类入侵者能非常轻松的抹掉入侵者的踪迹,一个聪明的入侵者一般会将编译好的擦除软件传到受害主机,并在侵入系统后马上做擦除工作,比如他在受害主机执行zap,如下,
|
此时,在用w看时,我们看看发生了什么变化?
yiming pts/29 Jun 12 09:24 (11.22.33.44) |
我们能看到入侵者消失了!这对入侵者是个好消息,但对一个安全意识较差的系统管理员而言,这台主机可不大妙了。建议如果系统看起来不大对劲,而用w,last等看出不出来端倪的话,还是安装其他系统监视软件如ttywatcher,ethereal等仔细审核一下。
adm/wtmp,wtmps
这两个文件相当于历史纪录,他们记录着所有登录过主机的用户,时间,来源等内容, 这两个文件也是不具可读性的。可用last命令来看,如下。
support pts/13 11.22.33.44 Thu Apr 20 18:40 - 20:50 (02:10) |
管理员要注意那些发生在不正常时间或是来自可疑地点的登录纪录,如上面输出结果中的gogo用户,这个时间不太正常。
和上面utmp,utmpx相同,管理员也应该清晰:last只能给你一个大概的参考,不要完全相信last的结果。
除了上述几个文件外,在/var/log目录下更有一个syslog文件,这个文件的内容一般是纪录mail事件的,管理员应该经常检查有没有异常纪录。
最后来讲一讲solaris一个非常少被用起但却极为有用的功能---记账。Solaris操作系统能通过设置日志文件能对每个用户的每一条命令进行纪录,这一功能默认是不开放的,为了打开他,需要执行/usr/lib/acct目录下的accton文件,格式如下 /usr/lib/acct/accton /var/adm/pacct,在sun的手册上,只有这一种用法,但这样做的缺点是明显的,大多数有经验的入侵者一定不会放过/var/adm和 /var/log这两个目录的,如果他们看到有pacct这个东西,不删才怪。针对这种情况其实有个非常好的解决办法,执行 /usr/lib/acct/accton 后面跟一个别的目录和文件即可,如/usr/lib/acct/accton /yiming/log/commandlog,这样入侵者不会在/var/adm/下看到pacct,入侵者也许会删掉message,syslog等日志,但他并不知道实际上他所有的操作都被记录在案,管理员事后只要把commandlog这个文件拷贝到/var/adm下,改为pacct ,同时执行读取命令lastcomm,就一切尽在掌控啦。如lastcomm hack,可得到下面的输出结果:
sh S hack pts/7 0.05 secs Mon Jun 12 14:28 |
我们从输出中能了解用户hack所做的工作,是不是非常爽?
其实网络安全,能从一些小的点点滴滴的方面加以注意,使用得当,相同会起到较好的作用,管理员,从关注你的日志文件开始吧。
以上内容由 华夏名网 搜集整理,如转载请注明原文出处,并保留这一部分内容。
“华夏名网” http://www.sudu.cn 和 http://www.bigwww.com 是成都飞数科技有限公司的网络服务品牌,专业经营虚拟主机,域名注册,VPS,服务器租用业务。公司创建于2002年,经过6年的高速发展,“华夏名网”已经成为我国一家知名的互联网服务提供商,被国外权威机构webhosting.info评价为25大IDC服务商之一。 |