Просмотр файлов журналов
Необходимо внимательно просмотреть файлы журналов, когда вы ищете признаки беды. Файлы журналов Windows можно найти в разделе Event Viewer из Administrative Tools. В Linux и BSD-вариантах UNIX файлы журналов находятся в каталоге /var/log/. В других вариантах UNIX эти файлы также могут присутствовать, но их расположение может отличаться. В табл. 11.2 перечислены основные файлы журналов UNIX и их назначение.
| /var/log/messages | Хранит общие системные сообщения |
| /var/log/secure | Хранит сообщения аутентификации и безопасности |
| /var/log/wtmp | Хранит историю входов в систему и выходов из нее |
| /var/run/utmp | Хранит динамический список пользователей, находящихся в данный момент в системе |
| /var/log/btmp | Только для Linux. Хранит все неудачные или неверные попытки входа. |
Эти файлы могут располагаться несколько иначе или не существовать в других версиях UNIX. Программы также часто создают собственные файлы журналов, хранящиеся обычно в каталоге /var. Для просмотра этих файлов и поиска определенных цепочек символов или чисел (таких как IP-адреса и имена пользователей) можно воспользоваться текстовым редактором.
В табл. 11.3 перечислены несколько команд уровня операционной системы, которые можно применять в системах Linux и UNIX для быстрого просмотра этих файлов.
| users | Извлекает из файла utmp и выдает список пользователей, находящихся в данный момент в системе |
| w | Выдает детальную информацию о пользователях, находящихся в системе, в том числе: как они вошли (локально или удаленно), IP-адрес, если вход удаленный, какие команды они выполняют. Эта команда очень полезна для поимки нарушителя "с поличным". |
| last | Выдает наиболее свежие записи файла wtmp. Это также может быть весьма полезно, чтобы увидеть, кто, когда и насколько входит в систему. На листинге 11.4 приведен пример подобной выдачи |
| lastb | Только для Linux. Делает то же, что и предыдущая команда, но для файла btmp - протокола неправильных входов. Здесь нарушитель может проявиться в первую очередь, если он совершил много неудачных попыток входа |
tony pts/0 10.1.1.1 Sun Sep 5 23: 06 still logged in tony pts/0 10.1.1.1 Sun Sep 5 22:44 - 23:04 (00:20) tony pts/0 10.1.1.1 Sun Sep 5 21:08 - 21:16 (00:07) tony pts/0 10.1.1.1 Sun Sep 5 20:20 - 20:36 (00:16) reboot system boot 2.4.18-14 Sun Sep 5 17:32 (05:34) tony tty1 Sun Sep 5 17:29 - down (00:01) tony pts/2 10.1.1.1 Sat Sep 4 23:02 - 23:34 (00:32) tony pts/2 10.1.1.1 Sat Sep 4 22:36 - 22:36 (00:00) hank pts/0 10.1.1.200 Sat Sep 4 12:13 - 12:22 (00:08) hank pts/0 adsl-66-141-23-1 Fri Sep 3 23:53 - 23:53 (00:00) hank pts/0 192.168.1.100 Fri Sep 3 14:47 - 14:47 (00:00) tony pts/3 192.168.1.139 Fri Sep 3 09:59 - down (00:01) larry pts/3 adsl-65-67-132-2 Thu Sep 2 22:59 - 23:11 (00:12) tony pts/3 10.1.1.1 Thu Sep 2 21:33 - 21:49 (00:16) brian pts/3 adsl-65-68-90-12 Thu Sep 2 18:23 - 18:31 (00:07) hank pts/5 192.168.1.139 Thu Sep 2 14:29 - 15:35 (01:06) sam pts/ dialup-207-218-2 Wed Sep 1 22:24 - 00:40 (02:16)
Листинг 11.4. Выдача команды last
Следует учитывать, что если ваша система была скомпрометирована, эти программы могут быть заменены "троянскими" копиями. Такие программы, как Tripwire (см. лекцию 7), способны помочь определить, были ли искажены системные бинарные файлы. Вы должны сделать заведомо хорошие копии этих бинарных файлов, чтобы было возможным исполнение с безопасного загрузочного носителя, а не из системы. Помните также, что атакующие часто будут выборочно редактировать файлы журналов, чтобы стереть все следы своей деятельности. Однако если они просто удалят файлы журналов, вы, возможно, сумеете их восстановить. Кроме того, следует проверить все файлы журналов, так как некоторые новички удаляют лишь часть из них.
