检查/etc/syslog.conf以及其他守护进程的配置文件以确定其余日志的位置。

　　================

　　获取重要配置文件

　　================

　　检查各配置文件查找后门位置，未授权的信任关系和未授权的用户ID。

　　/etc/passwd，查找未授权的用户帐号和权限。初级的入侵者会添加uid=0的用户，

　　有人也会把系统中一个不起眼的原本没有shell的普通账户改成可登陆获得shell执行命令，

　　然后他可以通过一个suid位的ksh或其他的安置在本地的后门马上得到rootshell.

　　/etc/shadow,确保每个用户都有密码认证；当然攻击者给自己的账户加一个md5 hash其实也是非常简单的事。

　　/etc/groups,查找权限的升级和访问范围的扩大。

　　/etc/hosts,列出本地DNS条目。

　　/etc/hosts.equiv,检查信任关系。

　　~/.rhosts,检查基于用户的信任关系，++这种很滥的后门相信大家都知道。

　　/etc/hosts.allow && /etc/hosts.deny 检查tcpwrapper的规则。

　　/etc/rc*,检查启动文件。

　　Crontab文件，列出计划事件。

　　/etc/inetd.conf,列出端口所监听的服务。

　　===========

　　转储系统RAM

　　===========

　　主要是从系统转移/proc/kmem或/proc/kcore文件，该文件以非连续方式包含系统RAM的内容。

　　{{深入调查}}

　　============

　　检查系统日志

　　============

　　Unix有很多日志，这些为应急响应提供重要的线索。日志文件大多位于公用目录，通常是/var/log,或/usr/adm,/var/adm,

　　有些日志位于禁止访问的/etc目录。具体请参考当前操作体系统文档。

　　其中syslogd守护进程提供非常强大的日志功能，比如装载一个内核模块的登记，其配置文件为/etc/syslog.conf，

标签：