4.審查系統日志文件

　　詳細地審查你的系統日志文件，你可以了解系統是如何被侵入的，入侵過程中，攻擊者執行了哪些操作，以及哪些遠程主機訪問了你的主機。通過這些信息，你能夠對入侵有更加清晰的認識。

　　記住:系統中的任何日志文件都可能被入侵者改動過。

　　對于UNIX系統，你可能需要查看/etc/syslog.conf文件確定日志信息文件在哪些位置。NT通常使用三個日志文件，記錄所有的NT事件，每個NT事件都會被記錄到其中的一個文件中，你可以使用Event Viewer查看日志文件。其它一些NT應用程序可能會把自己的日志放到其它的地方，例如ISS服務器默認的日志目錄是c:winntsystem32logfiles。

　　以下是一個通常使用的UNIX系統日志文件列表。由于系統配置的不同可能你的系統中沒有其中的某些文件。

　　messages

　　messages日志文件保存了大量的信息�？梢詮倪@個文件中發現異常信息，檢查入侵過程中發生了哪些事情。

　　xferlog

　　如果被侵入系統提供FTP服務，xferlog文件就會記錄下所有的FTP傳輸。這些信息可以幫助你確定入侵者向你的系統上載了哪些工具，以及從系統下載了哪些東西。

　　utmp

　　保存當前登錄每個用戶的信息，使用二進制格式。這個文件只能確定當前哪些用戶登錄。使用who命令可以讀出其中的信息。

　　wtmp

　　每次用戶成功的登錄、退出以及系統重啟，都會在wtmp文件中留下記錄。這個文件也使用二進制格式，你需要使用工具程序從中獲取有用的信息。last就是一個這樣的工具。它輸出一個表，包括用戶名、登錄時間、發起連接的主機名等信息，詳細用法可以使用man last查詢。檢查在這個文件中記錄的可疑連接，可以幫助你確定牽扯到這起入侵事件的主機，找出系統中的哪些帳戶可能被侵入了。

　　secure

　　某些些版本的UNIX系統(例如：RedHat Linux)會將tcp_wrappers信息記錄到secure文件中。如果系統的inetd精靈使用tcp_wrappers,每當有連接請求超出了inetd提供的服務范圍，就會在這個文件中加入一條日志信息。通過檢查這個日志文件，可以發現一些異常服務請求，或者從陌生的主機發起的連接。

　　審查日志，最基本的一條就是檢查異�，F象。