知道這意味著什么嗎?你的系統(tǒng)已有至少99%的可能性被侵入!

目前使用solaris的系統(tǒng)管理員都知道在/var區(qū)下有個(gè)目錄adm，在這個(gè)目錄下有messags，syslog，sulog，utmp等諸多日志文件，它們記錄著solaris系統(tǒng)產(chǎn)生的各種消息日志。從系統(tǒng)管理員的角度來講，清楚的理解各個(gè)日志文件的功能及作用是很有必要的，在系統(tǒng)發(fā)生安全問題時(shí)，這些日志紀(jì)錄可以在一定意義上起到幫助和診斷作用。

我們來依次看看Adm目錄下的主要文件。

adm/messags 

我們先來看最為重要的messages文件， messages記載來自系統(tǒng)核心的各種運(yùn)行日志，包括各種精靈，如認(rèn)證，inetd等進(jìn)程的消息及系統(tǒng)特殊狀態(tài)，如溫度超高等的系統(tǒng)消息，可以說它是系統(tǒng)最重要的日志之一。 messages可以記載的內(nèi)容是由/etc/syslog.conf決定的，有興趣的讀者可以使用man syslog.conf命令來做一個(gè)詳細(xì)了解，這里就不介紹了。就安全的角度來講，目前互聯(lián)網(wǎng)上入侵者采用的手段大多數(shù)是利用系統(tǒng)的漏洞，而當(dāng)入侵者試圖利用漏洞對(duì)你的服務(wù)器進(jìn)行攻擊時(shí)，在服務(wù)器的messages文件中一般會(huì)留下一些異常的內(nèi)容，如本文最開始描述的部分，就是目前互聯(lián)網(wǎng)上入侵者使用 rpc.ttdbserver漏洞攻擊所留下的痕跡，它是solaris最為臭名昭著的一個(gè)系統(tǒng)漏洞，入侵者利用這個(gè)漏洞可以輕松的從遠(yuǎn)端得到超級(jí)用戶權(quán)限，但這種攻擊不是干凈的入侵攻擊，它會(huì)在messages下留下記錄，同時(shí)會(huì)在根目錄下生成core文件，如果細(xì)心的管理員經(jīng)常檢查系統(tǒng)日志，是不難發(fā)現(xiàn)有入侵者或入侵企圖的，又比如下面的紀(jì)錄：

Apr 24 11：26：25 unix.secu.com ftpd[7261]： anonymous (bogus) LOGIN FAILED [from 11.22.33.46] 
Apr 24 11：27：23 unix.secu.com ftpd[7264]： 163 (bogus) LOGIN FAILED [from 11.22.33.49] 
Apr 24 11：28：44 unix.secu.com ftpd[7265]： abc (bogus) LOGIN FAILED [from 11.22.33.46] 

管理員可以從上述紀(jì)錄中可以清楚看到在24日11點(diǎn)26， 11點(diǎn)27， 11點(diǎn)28分有可疑用戶在猜主機(jī)的ftp口令，它們的來源ip 分別是 11.22.33.46和11.22.33.49。

adm/sulog 

sulog中記載著普通用戶嘗試su成為其它用戶的紀(jì)錄。它的格式為： 發(fā)生時(shí)間 +/-(成功/失敗) pts號(hào) 當(dāng)前用戶欲su成的用戶我們截取一部分實(shí)際內(nèi)容，來看一下：

SU 04/15 16：35 + pts/6 yiming-root 
SU 04/15 16：43 + pts/4 root-yiming 
SU 04/17 08：20 - pts/5 cheny-root 
SU 04/18 16：36 - pts/4 cheny-root 
SU 04/19 02：57 + pts/11 lizhao-root 
SU 04/19 19：57 + pts/11 cys-root 
SU 04/21 08：20 - pts/4 cheny-root 
SU 04/21 16：36 - pts/8 cheny-root 
SU 04/22 15：23 - pts/5 cheny-root 

對(duì)管理員來講，需要密切關(guān)注兩種用戶，第一是反復(fù)su失敗的，如以上cheny用戶，他有猜超級(jí)用戶口令的嫌疑。第二是在不正常時(shí)間的su紀(jì)錄，如上述第六行用戶lizhao，隨然他正確的輸入了口令(在第四列中有+號(hào))但02：57分這個(gè)時(shí)間比較可疑，這是一個(gè)管理員不大可能工作的時(shí)間，要知道，入侵者可能安裝過sniffer之類的軟件，并利用它竊取到了超級(jí)用戶口令，為了進(jìn)一步做工作，如竊取主機(jī)敏感數(shù)據(jù)，入侵者需要進(jìn)行比較復(fù)雜的操作，但在白天這個(gè)系統(tǒng)管理員活動(dòng)的時(shí)間被發(fā)現(xiàn)的可能性是比較大的，所以即使入侵者得到了高權(quán)限的密碼，一般也會(huì)選擇深夜等管理員一般不工作的時(shí)間。這些時(shí)候沒有人會(huì)抓他。

adm/utmp,utmpx

這兩個(gè)文件是不具可讀性的，它們記錄著當(dāng)前登錄在主機(jī)上的用戶，管理員可以用w，who等命令來看，下面為who的輸出結(jié)果，

yiming pts/29 Jun 12 09：24 (11.22.33.44) 
yiming pts/28 Jun 12 08：41 (11.22.33.43) 
guest pts/30 Jun 12 09：26 (penetrate.hacker.com) 
root pts/19 Jun 12 08：19 (:0.0) 

它的輸出很簡單，每行依次為用戶，pts號(hào)，時(shí)間，來源地點(diǎn)。當(dāng)管理員覺得系統(tǒng)表現(xiàn)可疑時(shí)，一般會(huì)用這兩個(gè)命令來看當(dāng)前用戶，如果在輸出中有不正常的用戶名，或是來源ip較為可疑，則管理員需要引起注意了。如上述guest這個(gè)用戶就比較可疑，雖然這個(gè)用戶名guest是合法的，但這個(gè)用戶的來源 penetrate.Hacker.com看起來可是不太對(duì)勁。系統(tǒng)管理員有必要監(jiān)視一下這個(gè)用戶的行為。有一點(diǎn)要注意，管理員不能完全相信w，who及下面提到的last命令所報(bào)告的結(jié)果，使用特定的擦除日志軟件，如zap之類入侵者可以很輕松的抹掉入侵者的蹤跡，一個(gè)聰明的入侵者一般會(huì)將編譯好的擦除軟件傳到受害主機(jī)，并在侵入系統(tǒng)后馬上做擦除工作，比如他在受害主機(jī)執(zhí)行zap，如下，

./zap -v guest 
- WTMP： 
WTMP = /var/adm/wtmp 
Removing user guest at pos： 131328 
Done! 
- UTMP： 
UTMP = /var/adm/utmp 
Removing user guest at pos： 864 
Done! 
- LASTLOG： 
LASTLOG = /var/adm/lastlog 
User guest has no wtmp record。 Zeroing lastlog。。 
- WTMPX： 
WTMPX = /var/adm/wtmpx 
Done! 
- UTMPX： 
UTMPX = /var/adm/utmpx 
Done! 

yiming pts/29 Jun 12 09：24 (11.22.33.44) 
yiming pts/28 Jun 12 08：41 (11.22.33.43) 
root pts/19 Jun 12 08：19 (:0.0) 

我們可以看到入侵者消失了!這對(duì)入侵者是個(gè)好消息，但對(duì)一個(gè)安全意識(shí)較差的系統(tǒng)管理員而言，這臺(tái)主機(jī)可不大妙了。建議如果系統(tǒng)看起來不大對(duì)勁，而用w，last等看出不出來端倪的話，還是安裝其它系統(tǒng)監(jiān)視軟件如ttywatcher，ethereal等仔細(xì)審核一下。

adm/wtmp，wtmps

這兩個(gè)文件相當(dāng)于歷史紀(jì)錄，它們記錄著所有登錄過主機(jī)的用戶，時(shí)間，來源等內(nèi)容， 這兩個(gè)文件也是不具可讀性的?？捎胠ast命令來看，如下。

support pts/13 11.22.33.44 Thu Apr 20 18：40 - 20：50 (02：10) 
gogo pts/12 11.22.33.45 Thu Apr 20 1：53 - 17：21 (02：28) 
root ftp secu.unix.com Wed Apr 19 14：58 - 14：58 (00：00) 

管理員要注意那些發(fā)生在不正常時(shí)間或是來自可疑地點(diǎn)的登錄紀(jì)錄，如上面輸出結(jié)果中的gogo用戶，這個(gè)時(shí)間不太正常。

與上面utmp，utmpx一樣，管理員也應(yīng)該清楚：last只能給你一個(gè)大概的參考，不要完全相信last的結(jié)果。

除了上述幾個(gè)文件外，在/var/log目錄下還有一個(gè)syslog文件，這個(gè)文件的內(nèi)容一般是紀(jì)錄mail事件的，管理員應(yīng)該經(jīng)常檢查有沒有異常紀(jì)錄。

最后來講一講solaris一個(gè)很少被用起但卻極為有用的功能—記賬。Solaris操作系統(tǒng)可以通過設(shè)置日志文件可以對(duì)每個(gè)用戶的每一條命令進(jìn)行紀(jì)錄，這一功能默認(rèn)是不開放的，為了打開它，需要執(zhí)行/usr/lib/acct目錄下的accton文件，格式如下/usr/lib/acct /accton /var/adm/pacct，在sun的手冊(cè)上，只有這一種用法，但這樣做的缺點(diǎn)是明顯的，大多數(shù)有經(jīng)驗(yàn)的入侵者一定不會(huì)放過/var/adm和 /var/log這兩個(gè)目錄的，如果它們看到有pacct這個(gè)東西，不刪才怪。針對(duì)這種情況其實(shí)有個(gè)很好的解決辦法，執(zhí)行/usr/lib/acct /accton 后面跟一個(gè)別的目錄和文件即可，如/usr/lib/acct/accton /yiming/log/commandlog，這樣入侵者不會(huì)在/var/adm/下看到pacct，入侵者也許會(huì)刪掉message，syslog等日志，但他并不知道實(shí)際上他所有的操作都被記錄在案，管理員事后只要把commandlog這個(gè)文件拷貝到/var/adm下，改為pacct ，同時(shí)執(zhí)行讀取命令lastcomm，就一切盡在掌握啦。如lastcomm hack，可得到下面的輸出結(jié)果：

sh S hack pts/7 0.05 secs Mon Jun 12 14：28 
sh F hack pts/7 0.00 secs Mon Jun 12 14：39 
ls hack pts/7 0.01 secs Mon Jun 12 14：39 
ls hack pts/7 0.02 secs Mon Jun 12 14：39 
ls hack pts/7 0.01 secs Mon Jun 12 14：38 
df hack pts/7 0.03 secs Mon Jun 12 14：38 
ftp hack pts/7 0.02 secs Mon Jun 12 14：37 
ls hack pts/7 0.01 secs Mon Jun 12 14：37 
vi hack pts/7 0.02 secs Mon Jun 12 14：37 
who hack pts/7 0.02 secs Mon Jun 12 14：36 

其實(shí)網(wǎng)絡(luò)安全，可以從一些小的點(diǎn)點(diǎn)滴滴的方面加以注意，使用得當(dāng)，一樣會(huì)起到較好的作用，管理員，從關(guān)注你的日志文件開始吧。

zhaohang