4.審查系統(tǒng)日志文件

　　詳細(xì)地審查你的系統(tǒng)日志文件，你可以了解系統(tǒng)是如何被侵入的，入侵過(guò)程中，攻擊者執(zhí)行了哪些操作，以及哪些遠(yuǎn)程主機(jī)訪問(wèn)了你的主機(jī)。通過(guò)這些信息，你能夠?qū)θ肭钟懈�加清晰的認(rèn)識(shí)。

　　記住:系統(tǒng)中的任何日志文件都可能被入侵者改動(dòng)過(guò)。

　　對(duì)于UNIX系統(tǒng)，你可能需要查看/etc/syslog.conf文件確定日志信息文件在哪些位置。NT通常使用三個(gè)日志文件，記錄所有的NT事件，每個(gè)NT事件都會(huì)被記錄到其中的一個(gè)文件中，你可以使用Event Viewer查看日志文件。其它一些NT應(yīng)用程序可能會(huì)把自己的日志放到其它的地方，例如ISS服務(wù)器默認(rèn)的日志目錄是c:winntsystem32logfiles。

　　以下是一個(gè)通常使用的UNIX系統(tǒng)日志文件列表。由于系統(tǒng)配置的不同可能你的系統(tǒng)中沒(méi)有其中的某些文件。

　　messages

　　messages日志文件保存了大量的信息。可以從這個(gè)文件中發(fā)現(xiàn)異常信息，檢查入侵過(guò)程中發(fā)生了哪些事情。

　　xferlog

　　如果被侵入系統(tǒng)提供FTP服務(wù)，xferlog文件就會(huì)記錄下所有的FTP傳輸。這些信息可以幫助你確定入侵者向你的系統(tǒng)上載了哪些工具，以及從系統(tǒng)下載了哪些東西。

　　utmp

　　保存當(dāng)前登錄每個(gè)用戶的信息，使用二進(jìn)制格式。這個(gè)文件只能確定當(dāng)前哪些用戶登錄。使用who命令可以讀出其中的信息。

　　wtmp

　　每次用戶成功的登錄、退出以及系統(tǒng)重啟，都會(huì)在wtmp文件中留下記錄。這個(gè)文件也使用二進(jìn)制格式，你需要使用工具程序從中獲取有用的信息。last就是一個(gè)這樣的工具。它輸出一個(gè)表，包括用戶名、登錄時(shí)間、發(fā)起連接的主機(jī)名等信息，詳細(xì)用法可以使用man last查詢(xún)。檢查在這個(gè)文件中記錄的可疑連接，可以幫助你確定牽扯到這起入侵事件的主機(jī)，找出系統(tǒng)中的哪些帳戶可能被侵入了。

　　secure

　　某些些版本的UNIX系統(tǒng)(例如：RedHat Linux)會(huì)將tcp_wrappers信息記錄到secure文件中。如果系統(tǒng)的inetd精靈使用tcp_wrappers,每當(dāng)有連接請(qǐng)求超出了inetd提供的服務(wù)范圍，就會(huì)在這個(gè)文件中加入一條日志信息。通過(guò)檢查這個(gè)日志文件，可以發(fā)現(xiàn)一些異常服務(wù)請(qǐng)求，或者從陌生的主機(jī)發(fā)起的連接。

　　審查日志，最基本的一條就是檢查異常現(xiàn)象。