Chinaunix首页 | 论坛 | 博客
  • 博客访问: 293655
  • 博文数量: 69
  • 博客积分: 3370
  • 博客等级: 中校
  • 技术积分: 1035
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-25 10:52
文章分类

全部博文(69)

文章存档

2019年(1)

2009年(7)

2008年(61)

我的朋友

分类: LINUX

2008-07-10 21:28:11


审查相关日志
执行关键词
审查相关文件
识别未授权用户账号或用户组
识别恶意进程和服务
检查未授权的访问点
分析信任关系
检查内核模块rootkits
检查计划任务所运行的作业
以上布骤不是按时间先后或重要程度排序
 
审查相关日志
一.网络日志
/var/log
/var/adm/
/usr/adm
Tcp Wrapper日志记录
Tcp Wrapper:基于主机对TCP和UDP服务的访问控制.
/var/log/messages
其他网络日志
二.主机日志记录
su命令日志
已登入的用户日志
utmp或wtmp文件用来存储当前已登录到系统的用户信息;zap软件可以选择删除项
查看方式:w,who,finger或last
尝试登录的日志记录
ftp或者ssh登入存在日志文件
cron日志
/var/cron/log
默认存在日志目录下的文件名cron
三.用户操作日志
进程记账日志:
系统中没有acct或pacct日志文件,可用lastcomm或acctcom命令检查文件内容。
shell 历史
.bash_history
ls -al
可能发生的情况删除。.bash_history删除并把文件链接到/dev/null
 
搜索关键字:
使用grep进行字符串搜索
grep root /etc/passwd
grep PROMISC /sbin/ifconfig
grep -a PROMISC /sbin/ifconfig
strings /sbin/ifconfig |grep NOTRAILERS
grep -r -i password /
find / -print |xargs grep -i password
搜索删除文件
cat testfile
InCiDeNt
rm testfile
grep InCiDeNt /dev/sda3
grep查找为加密的嗅探程序日志。
使用find命令对文件进行搜索
find /-name "\.\.\." -print 结合exec使用。
审查相关文件
事件事件和时间/日期戳

识别未经授权的用户账号或用户组
用户账号调查                                                                              
组帐户调查
cat /etc/group
识别恶意进程
netstat -anp
grep ftpd /etc/inetd.conf
检查未经授权的访问点
unix默认安装的网络服务:网络文件系统(nfs,telnet,finger,rlogin等)
入侵最常使用的访问点:X server。ftp。telnet,tftp,dns,sendmail,finger,snmp,imap,pop,http,https 还有被入侵植入了木马程序。
分析信任关系
dsniff 套件
http;//~dugsong/dsniff/

检查可加载木马程序的内核模块
find / -name ftpd -print

 # make sense
 # ./chkrootkit
 # ./chkrootkit -n| grep 'INFECTED'
./chkrootkit > chk_result

Kstat工具
kstat -s
阅读(1583) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~