大多数入侵者都会修改或删除日志，虽然理论上能够做到除种植lkm rootkit之外几乎不留任何痕迹，但在实际入侵中，

　　善后工作实际上是个不小的工程，不仅依赖入侵者对系统的熟知程度，而且当处理过多繁琐的内容时，疏忽很容易出现。比如:刚得到

　　rootshell时unset HISTFILESIZE,退出时忘了复原，留下一条痕迹。诸如此类的例子还有很多，日志清除工具是死的，它只会清除预定义的

　　项目，虽然你也能修改源码，但那样还是不能随机应变。最保险的方法就是手工劳动，这样就加大了入侵者的负担。出于懒惰，

　　对系统掌握程度不够或是各种各样的原因往往还是会留下一些对我们有价值的东西。所以，检查日志对应急响应来说非常重要。

　　==============

　　执行关键字搜索

　　==============

　　无论是对何种操作系统进行应急响应，关键字搜索都是该过程的一部分。针对某个具体事件，可能会有一些ID,phrase与此事件密切相关，

　　执行关键字搜索可以找到更多的信息。关键字可以是很长的ASCII字符串，包括攻击者后门密码，用户名，Mac地址或IP.

　　例：搜索整个文件系统中包含ay4z3ro字符串大小写形式的所有文件：

　　[root@ay4z3ro foo]# grep –r –i ay4z3ro /

　　strings命令用于显示文件中的可打印字符，例如:srings /bin/login用于显示login后门中的密码（未加密的明文，编码或加密后的散列）。

　　Find命令用于寻找匹配常规表达式的任何文件名。例：

　　在整个文件系统中搜索名为…的文件或目录：

　　[root@ay4z3ro foo]# find / -name “... –print

　　此外find命令可以匹配的特征还包括：修改访问时间，文件所有者，文件内的字符串，文件名的字符串等。

标签：