一些普通的入侵后的审核

1，普通的LOG文件，如/var/log/messages 或者/var/adm/messages入侵者犯的第一个错误是摸去他们的IP地址和所有在这文件中可疑的信息或者防止LOG文件记录使用木马的痕迹，但往往他们没有检查他们第一个使用的缓冲溢出...如果他们通过一个mail/ftp/rpc服务来获得缓冲溢出而获得一定的权限时，其实在他们利用漏洞使用EXPLOIT时，一些有漏洞的服务会在其被杀时进程只前记录了他们的LOG了他们的活动，或者记录了他们一些前面几次没有成功入侵的记录。

2，正常的LOGIN
第二件事情是许多入侵者喜欢使用入侵后在系统上建立帐号，或者使用一些有些所使用的密码相对较弱的密码（他们可以通过CRACK获得一些弱的密码）来通过telnet,rsh等再次访问系统，虽然现在有对LOGIN进行处理来防止通过utmp和wtmp文件显示用户名，但要知道如果系统使用了tcp wrapper，tcp wrapper会记录所有通过如login设备连接的任何人的IP地址。通常多数入侵者还是喜欢使用login或者rsh来访问系统即使他们已经获得了ROOT权限和控制了所有系统。这是入侵者第二个错误。系统管理员最好设置tcp wrapper程序。

3，wtmp LOG文件
一般来说入侵者进入之后，通常的wtmp会被清除或者通过替换login程序来避免被WTMP记录，但有没有考虑到FTP守护程序呢？很少有人会对FTPD种下木马，但FTPD可以在没有syslog的帮助下记录在WTMP文件中，意思就是，如果入侵者从一台机器传送文件到另一台机器，并且调用了FTPD程序，在WTMP中就会增加一条关于连接的IP地址。

4, .bash_history, .sh_history
如果入侵者使用一个缓冲溢出派生了一个sh或者bash外壳，并且被入侵的系统上设置有HISTFILE 和HISTFILESIZE变量，或者入侵者执行了第二个SHELL（只要在连接后再打&quotsh&quot)，他们就会在相应的目录中存在一个历史文件。这样的话，可以通过检查历史文件中的第一个命令获得一些信息，如源IP地址，因为入侵者往往入侵系统后第一件事情是ftp或者telnet回去自己的机器来抓去一些木马程序，后门或者其他工具。即使获得这个源IP地址也是一个被入侵的机器，但至少你有一个新的线索来跟踪。

5， WEB服务器访问记录
WEB服务器记录是一个非常容易忽略的地方，也是一个比较好获取追踪信息的地方，因为很多入侵者最大的错误是没有好好的清除WEB服务器的LOG文件，如apache的HTTPD的LOG记录在logs/*_log（相对于apache安装路径），从这些文件中你可以好好的查询入侵者的IP地址，或者查找一些你原来没有存放的程序，因为绝大多数入侵者会查找你所存在的CGI漏洞，或者安装新的CGI后门等。你可以把WEB服务器的LOG通过apache的设定放在自己想要放的地方，这样可以不让入侵者很容易的找到LOG记录，至少他们要仔细搜寻系统后才能清除记录。

6， coredumps
这是个比较复杂的方法，--通常守护程序通过SysV init脚本来启动，默认状态下不会coredump(核心倾倒），但源于安全性，许多用户喜欢手工启动象一些如HTTPD，BIND的程序，因而在exploit这些程序时，有时候会在它们当前工作目录下产生coredump，在exploit这些守护程序的漏洞时，许多服务会在socket上做一个getpeername工作并在内存上留下入侵者的IP地址，这可以通过GDB在core dump后在内存进程中的一些信息。

7， 代理服务器
如果你在所有主机之前有一个网关的代理服务器，可以方便的在代理服务器上跟踪审核，通明网关如plug-gw或者squid记录所有通过它们主机的连接，所以很容易查找一连接信息。

8，路由器记录
路由器在默认配置中不记录每一个连接，因为它的构造比较简单，但如果你在你的网络上设置一些访问控制的话，路由器可以帮助你追踪入侵者，例如，设置你的路由器只允许内部AS或者DMZ AS才能访问内部网，这样路由器会在拒绝所有其他请求时记录连接信息。

总结
许多入侵者由于懒或者疏忽，会留下这样那样的线索供你查询，管理员只要好好的检查就能找出系统的变化和一些入侵者所使用的IP地址，如一些tripwire等来查看系统的完整性，使用LOG-HOST或者一次性媒介来等来记录LOG信息，就能很好的获得入侵者不小心留下的线索。

BY XUNDI 错误难免，尽请指教2000-05-16
xundi1@21cn.com

关键词：一些普通的入侵后的审核