我们截取一部分实际内容,来看一下:SU 04/15 16:35 + pts/6 yiming-root对管理员来讲,需要密切关注两种用户,第一是反复su失败的,如以上cheny用户,他有猜超级用户口令的嫌疑。第二是在不正常时间的su纪录,如上述第六行用户lizhao,随然他正确的输入了口令(在第四列中有+号)但02:57分这个时间比较可疑,这是一个管理员不大可能工作的时间,要知道,入侵者可能安装过sniffer之类的软件,并利用它窃取到了超级用户口令,为了进一步做工作,如窃取主机敏感数据,入侵者需要进行比较复杂的操作,但在白天这个系统管理员活动的时间被发现的可能性是比较大的,所以即使入侵者得到了高权限的密码,一般也会选择深夜等管理员一般不工作的时间。这些时候没有人会抓他。
SU 04/15 16:43 + pts/4 root-yiming
SU 04/17 08:20 - pts/5 cheny-root
SU 04/18 16:36 - pts/4 cheny-root
SU 04/19 02:57 + pts/11 lizhao-root
SU 04/19 19:57 + pts/11 cys-root
SU 04/21 08:20 - pts/4 cheny-root
SU 04/21 16:36 - pts/8 cheny-root
SU 04/22 15:23 - pts/5 cheny-root
adm/utmp,utmpx
这两个文件是不具可读性的,它们记录着当前登录在主机上的用户,管理员可以用w,who等命令来看,下面为who的输出结果,yiming pts/29 Jun 12 09:24 (11.22.33.44)它的输出很简单,每行依次为用户,pts号,时间,来源地点。当管理员觉得系统表现可疑时,一般会用这两个命令来看当前用户,如果在输出中有不正常的用户名,或是来源ip较为可疑,则管理员需要引起注意了。如上述guest这个用户就比较可疑,虽然这个用户名guest是合法的,但这个用户的来源penetrate.Hacker.com看起来可是不太对劲。系统管理员有必要监视一下这个用户的行为。有一点要注意,管理员不能完全相信w,who及下面提到的last命令所报告的结果,使用特定的擦除日志软件,如zap之类入侵者可以很轻松的抹掉入侵者的踪迹,一个聪明的入侵者一般会将编译好的擦除软件传到受害主机,并在侵入系统后马上做擦除工作,比如他在受害主机执行zap,如下,
yiming pts/28 Jun 12 08:41 (11.22.33.43)
guest pts/30 Jun 12 09:26 (penetrate.hacker.com)
root pts/19 Jun 12 08:19 (:0.0)./zap -v guest此时,在用w看时,我们看看发生了什么变化?
- WTMP:
WTMP = /var/adm/wtmp
Removing user guest at pos: 131328
Done!
- UTMP:
UTMP = /var/adm/utmp
Removing user guest at pos: 864
Done!
- LASTLOG:
LASTLOG = /var/adm/lastlog
User guest has no wtmp record。 Zeroing lastlog。。
- WTMPX:
WTMPX = /var/adm/wtmpx
Done!
- UTMPX:
UTMPX = /var/adm/utmpx
Done!yiming pts/29 Jun 12 09:24 (11.22.33.44)我们可以看到入侵者消失了!这对入侵者是个好消息,但对一个安全意识较差的系统管理员而言,这台主机可不大妙了。建议如果系统看起来不大对劲,而用w,last等看出不出来端倪的话,还是安装其它系统监视软件如ttywatcher,ethereal等仔细审核一下。
yiming pts/28 Jun 12 08:41 (11.22.33.43)
root pts/19 Jun 12 08:19 (:0.0)
标签:
