solaris中的系統(tǒng)log日志原理分析
2024-07-26 00:29:59
供稿:網(wǎng)友
作為攻擊者當(dāng)然要知道系統(tǒng)是如何紀(jì)錄用戶的活動(dòng)的情況的原理的了,呵呵,不然ip被記下來(lái)都不知道!
呵呵,其實(shí)一些人只會(huì)到/var/adm/目錄里去刪日志,那是很笨很笨的做法。
前段時(shí)間在www.unixaid.net結(jié)識(shí)了一個(gè)外地的系統(tǒng)管理員,談了談,深有心得所以我把這些寫(xiě)下來(lái),呵呵。
unix系統(tǒng)的日志其實(shí)是非常復(fù)雜和強(qiáng)大的,特別是solaris系統(tǒng),因?yàn)樵创a的不公開(kāi),所以被蒙上了一層神秘的面紗,我研究分析了一陣子得出的結(jié)論和大家分享,我的能力有限,還望大家多多指教。
負(fù)責(zé)日志記帳的有兩個(gè)守護(hù)進(jìn)程:klogd,syslogd,我著重講這兩個(gè)進(jìn)程,當(dāng)然還有進(jìn)程記帳進(jìn)程,就不多介紹了,呵呵,因?yàn)榛旧纤械南到y(tǒng)動(dòng)作都會(huì)被這兩個(gè)進(jìn)程監(jiān)視并紀(jì)錄,大家如果要編寫(xiě)一些系統(tǒng)程序的話,也會(huì)用到syslog這個(gè)接口的,呵呵,klogd主要紀(jì)錄一些系統(tǒng)內(nèi)核的動(dòng)作,對(duì)攻擊者最受影響的是syslogd這個(gè)進(jìn)程.它可以接收訪問(wèn)系統(tǒng)的日志信息并且根據(jù)/etc/syslog.conf配置文件中的指令處理
這些信息。因此,任何希望生成日志信息的程序都可向syslog接口呼叫來(lái)生成改信息。大部分內(nèi)部系統(tǒng)工具如郵件和打印系統(tǒng)都是如此生成信息的,許多新增的程序如TCP_wrappers和SSH也是如此工作的。講到這里,大家有點(diǎn)概念了吧?呵呵
/etc/syslog.conf的格式比較復(fù)雜,大家可以參考一下有關(guān)書(shū)籍,主要是如下語(yǔ)句形式:
facility.level action
facility代表各種服務(wù),level代表syslog的認(rèn)證級(jí)別,action代表的是針對(duì)前面信息的處理。大家可以注意action字段,有時(shí)候會(huì)把信息發(fā)送到另外一臺(tái)機(jī)器而不是熟悉的/var/adm/messages的,這下應(yīng)該知道這個(gè)文件的重要性了吧?如果真把日志發(fā)到另外一臺(tái)機(jī)器的話,就想辦法把那臺(tái)機(jī)器dos掉了,不是它死你是你亡啊,呵呵,有時(shí)會(huì)發(fā)送到/dev/console,/dev/tty1或/dev/lp1等等這樣的設(shè)備,就是發(fā)送到終端啊,呵呵,想想如果那終端作的是系統(tǒng)管理員,你不是很慘?
現(xiàn)在大家應(yīng)該知道不是刪刪/var/adm/messages就了事的吧?呵呵
好,下面介紹一下solaris的另外一個(gè)記帳,就是wtmp和utmp,說(shuō)明一下大家常見(jiàn)到的wtmpx和utmpx是wtmp和utmp的擴(kuò)展罷了,大家可以參看wtmp.h,utmp.h里的定義的數(shù)據(jù)結(jié)構(gòu),會(huì)有寫(xiě)概念,呵呵,在solaris里是通過(guò)utmpd,wtmpd這兩個(gè)進(jìn)程來(lái)進(jìn)行記帳的,然后通過(guò)utmppipe這個(gè)管道文件向/var/adm/utmpx這個(gè)文件寫(xiě)數(shù)據(jù),當(dāng)然utmpx這個(gè)文件不是象messages一樣是文本形式的,它是二進(jìn)制的,只有who,finger命令可以訪問(wèn),呵呵,大家知道了吧?而last命令是訪問(wèn)wtmpx的。utmp是紀(jì)錄用戶的動(dòng)態(tài)會(huì)話用的,而wtmp是紀(jì)錄用戶的登陸與推出的活動(dòng)的,這就是區(qū)別,呵呵。寫(xiě)這篇
文章只是要提醒大家不要隨便刪日志,那很傻的,呵呵,最好自己編寫(xiě)一些刪日志的小工具,很容易,大家參考一下utmp這個(gè)數(shù)據(jù)結(jié)構(gòu)就可以了,也可以用一個(gè)命令來(lái)刪除messages中的紀(jì)錄:
eagle~# more /var/adm/messages|grep -v 或 >/var/adm/messages
很簡(jiǎn)單不是么?呵呵,當(dāng)然utmp,wtmp中的紀(jì)錄就要用程序解決了,也有現(xiàn)成的程序比如:
wtmpdump.c,marry.c,remove.c等等,呵呵都不錯(cuò)的,我主頁(yè)上有下載,呵呵
attacker.qzone.com
好了,就說(shuō)這么多了,重申一句,我只是為了讓大家進(jìn)行愛(ài)國(guó)主義行動(dòng)的時(shí)候注意以下善后的工作,呵呵其中牽涉到的只是非常多,我很多沒(méi)有詳細(xì)說(shuō)明和講解,希望大家重視日志,參考一下有關(guān)資料。
忘了,這些是solaris中的情況,呵呵,在linux里又大不一樣,呵呵,linux里沒(méi)有utmpd這個(gè)進(jìn)程,是通過(guò)PAM的認(rèn)證模塊來(lái)進(jìn)行記帳的,PAM的資料大家可以參考一下書(shū)籍很復(fù)雜,說(shuō)的話會(huì)近萬(wàn)字呢,呵呵
注:本文版權(quán)為補(bǔ)天網(wǎng)絡(luò)安全公司,轉(zhuǎn)載請(qǐng)保持文章的完整性!
