假设你是一位使用Solaris操作系统的网站管理员，有一天你无意中在你硬盘/var/adm目录下messages文件中看到了如下类似内容：Apr 24 20：31：04 nmssa /usr/dt/bin/rpc.ttdbserverd[405]： _Tt_file_system：：findBest
MountPoint -- max_match_entry is null， aborting…
Apr 24 20：31：05 nmssa inetd[140]： /usr/dt/bin/rpc.ttdbserverd： Segmentation Faul
t - core dumped知道这意味着什么吗?你的系统已有至少99%的可能性被侵入!

　　目前使用solaris的系统管理员都知道在/var区下有个目录adm，在这个目录下有messags，syslog，sulog，utmp等诸多日志文件，它们记录着solaris系统产生的各种消息日志。从系统管理员的角度来讲，清楚的理解各个日志文件的功能及作用是很有必要的，在系统发生安全问题时，这些日志纪录可以在一定意义上起到帮助和诊断作用。

　　我们来依次看看Adm目录下的主要文件。adm/messags我们先来看最为重要的messages文件， messages记载来自系统核心的各种运行日志，包括各种精灵，如认证，inetd等进程的消息及系统特殊状态，如温度超高等的系统消息，可以说它是系统最重要的日志之一。 messages可以记载的内容是由/etc/syslog.conf决定的，有兴趣的读者可以使用man syslog.conf命令来做一个详细了解，这里就不介绍了。就安全的角度来讲，目前互联网上入侵者采用的手段大多数是利用系统的漏洞，而当入侵者试图利用漏洞对你的服务器进行攻击时，在服务器的messages文件中一般会留下一些异常的内容，如本文最开始描述的部分，就是目前互联网上入侵者使用rpc.ttdbserver漏洞攻击所留下的痕迹，它是solaris最为臭名昭著的一个系统漏洞，入侵者利用这个漏洞可以轻松的从远端得到超级用户权限，但这种攻击不是干净的入侵攻击，它会在messages下留下记录，同时会在根目录下生成core文件，如果细心的管理员经常检查系统日志，是不难发现有入侵者或入侵企图的，又比如下面的纪录：Apr 24 11：26：25 Unix.secu.com ftpd[7261]： anonymous (bogus) LOGIN FAILED [from 11.22.33.46]
Apr 24 11：27：23 unix.secu.com ftpd[7264]： 163 (bogus) LOGIN FAILED [from 11.22.33.49]
Apr 24 11：28：44 unix.secu.com ftpd[7265]： abc (bogus) LOGIN FAILED [from 11.22.33.46]管理员可以从上述纪录中可以清楚看到在24日11点26， 11点27， 11点28分有可疑用户在猜主机的ftp口令，它们的来源ip 分别是 11.22.33.46和11.22.33.49。adm/sulogsulog中记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户

标签：