分类: LINUX
2008-04-27 16:24:18
|
在实际的密码分析过程中,推荐如下步骤和方法:
(1)首先,运行以下命令看破解了哪些口令:
#john——single 待破解的口令文件名
#john——show
(2)然后,采用字典攻击,破解口令:
#john——w:字典名 待破解的口令文件名
#john——show
(3)如果上述字典攻击不成功,则进行强行攻击:
#john——待破解的口令文件名
#john -show
日志检查工具——Logcheck
Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具,它分析各种Linux下的日志文件,比如前文所介绍过的/var/log/messages、/var/log/secure、/var/log/maillog等等,然后生成一个可能有安全问题的问题报告自动发送电子邮件给管理员。能设置它基于每小时或者每天用crond来自动运行。
Logcheck是一个软件包,用来实现自动检查日志文件,以发现安全入侵和不正常的活动。Logcheck用logtail程序来记录读到的日志文件的位置,下一次运行的时候从记录下的位置开始处理新的信息。所有的源代码都是公开的,实现方法也非常简单。
Logcheck SHELL脚本和logtail.c程序用关键字查找的方法进行日志检测。在这儿提到的关键字就是指在日志文件中出现的关键字,会触发向系统管理员发的报警信息。Logcheck的配置文件自带了缺省的关键字,适用于大多数的Unix系统。但是最好还是自己检查一下配置文件,看看自带的关键字是否符合自己的需要。
Logcheck脚本是简单的SHELL程序,logtail.c程序只调用了标准的ANSI C函数。Logcheck要在cron守护进程中配置,至少要每小时运行一次。脚本用简单的grep命令来从日志文件检查不正常的活动,如果发现了就发送电子邮件给管理员。如果没有发现异常活动,就不会收到电子邮件。
logcheck工具的主页在,用户可以在上面下载其最新版本: logcheck-1.1.1.tar.gz。下载后用tar xvfz logcheck-1.1.1.tar.gz命令解开到一临时目录下,然后用make linux自动生成相应的文件到/usr/local/etc、/usr/local/bin/等目录下。用户可能需要更改设置,如发送通知到谁的邮件账号等,默认发送到root。
利用logcheck工具分析所有logfile,避免每天经常手动地检查它们,节省了时间,提高了效率。
后门工具——rootkit
rootkit是一种比普通木马后门更为隐秘和危险的木马后门。它主要通过替换系统文件来达到目的,这样就会更加隐蔽,使检测变得比较困难。传统的rootkit主要针对Unix平台,例如Linux、AIX、SunOs 等操作系统,有些rootkit可以通过替换DLL文件或更改系统来攻击Windows平台。rootkit并不能让攻击者直接获得权限,相反它是在用户通过各种方法获得权限后才能使用的一种保护权限的措施,在攻击者获取系统根权限(根权限即root权限,是Unix系统的最高权限)以后,rootkit 提供了一套工具用来建立后门和隐藏行迹,从而让攻击者保住权限,在任何时候都可以使用root权限登录到系统。 |
