审查相关日志
执行关键词
审查相关文件
识别未授权用户账号或用户组
识别恶意进程和服务
检查未授权的访问点
分析信任关系
检查内核模块rootkits
检查计划任务所运行的作业
以上布骤不是按时间先后或重要程度排序
审查相关日志
一.网络日志
/var/log
/var/adm/
/usr/adm
Tcp Wrapper日志记录
Tcp Wrapper:基于主机对TCP和UDP服务的访问控制.
/var/log/messages
其他网络日志
二.主机日志记录
su命令日志
已登入的用户日志
utmp或wtmp文件用来存储当前已登录到系统的用户信息;zap软件可以选择删除项
查看方式:w,who,finger或last
尝试登录的日志记录
ftp或者ssh登入存在日志文件
cron日志
/var/cron/log
默认存在日志目录下的文件名cron
三.用户操作日志
进程记账日志:
系统中没有acct或pacct日志文件,可用lastcomm或acctcom命令检查文件内容。
shell 历史
.bash_history
ls -al
可能发生的情况删除。.bash_history删除并把文件链接到/dev/null
搜索关键字:
使用grep进行字符串搜索
grep root /etc/passwd
grep PROMISC /sbin/ifconfig
grep -a PROMISC /sbin/ifconfig
strings /sbin/ifconfig |grep NOTRAILERS
grep -r -i password /
find / -print |xargs grep -i password
搜索删除文件
cat testfile
InCiDeNt
rm testfile
grep InCiDeNt /dev/sda3
grep查找为加密的嗅探程序日志。
使用find命令对文件进行搜索
find /-name "\.\.\." -print 结合exec使用。
审查相关文件
事件事件和时间/日期戳
识别未经授权的用户账号或用户组
用户账号调查
组帐户调查
cat /etc/group
识别恶意进程
netstat -anp
grep ftpd /etc/inetd.conf
检查未经授权的访问点
unix默认安装的网络服务:网络文件系统(nfs,telnet,finger,rlogin等)
入侵最常使用的访问点:X server。ftp。telnet,tftp,dns,sendmail,finger,snmp,imap,pop,http,https 还有被入侵植入了木马程序。
分析信任关系
dsniff 套件
http;//~dugsong/dsniff/
检查可加载木马程序的内核模块
find / -name ftpd -print
# make sense
# ./chkrootkit
# ./chkrootkit -n| grep 'INFECTED'
./chkrootkit > chk_result
Kstat工具
kstat -s
阅读(1583) | 评论(0) | 转发(0) |