Solaris日志记录介绍

来源：作者：出处：巧巧读书 2007-10-09 进入讨论组

　　我们截取一部分实际内容，来看一下：SU 04/15 16：35 + pts/6 yiming-root SU 04/15 16：43 + pts/4 root-yiming SU 04/17 08：20 - pts/5 cheny-root SU 04/18 16：36 - pts/4 cheny-root SU 04/19 02：57 + pts/11 lizhao-root

SU 04/19 19：57 + pts/11 cys-root
SU 04/21 08：20 - pts/4 cheny-root
SU 04/21 16：36 - pts/8 cheny-root
SU 04/22 15：23 - pts/5 cheny-root

对管理员来讲，需要密切关注两种用户，第一是反复su失败的，如以上cheny用户，他有猜超级用户口令的嫌疑。第二是在不正常时间的su纪录，如上述第六行用户lizhao，随然他正确的输入了口令(在第四列中有+号)但02：57分这个时间比较可疑，这是一个管理员不大可能工作的时间，要知道，入侵者可能安装过sniffer之类的软件，并利用它窃取到了超级用户口令，为了进一步做工作，如窃取主机敏感数据，入侵者需要进行比较复杂的操作，但在白天这个系统管理员活动的时间被发现的可能性是比较大的，所以即使入侵者得到了高权限的密码，一般也会选择深夜等管理员一般不工作的时间。这些时候没有人会抓他。

　　adm/utmp,utmpx

　　这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看，下面为who的输出结果，yiming pts/29 Jun 12 09：24 (11.22.33.44) yiming pts/28 Jun 12 08：41 (11.22.33.43) guest pts/30 Jun 12 09：26 (penetrate.hacker.com) root pts/19 Jun 12 08：19 (:0.0)它的输出很简单，每行依次为用户，pts号，时间，来源地点。当管理员觉得系统表现可疑时，一般会用这两个命令来看当前用户，如果在输出中有不正常的用户名，或是来源ip较为可疑，则管理员需要引起注意了。如上述guest这个用户就比较可疑，虽然这个用户名guest是合法的，但这个用户的来源penetrate.Hacker.com看起来可是不太对劲。系统管理员有必要监视一下这个用户的行为。有一点要注意，管理员不能完全相信w，who及下面提到的last命令所报告的结果，使用特定的擦除日志软件，如zap之类入侵者可以很轻松的抹掉入侵者的踪迹，一个聪明的入侵者一般会将编译好的擦除软件传到受害主机，并在侵入系统后马上做擦除工作，比如他在受害主机执行zap，如下，./zap -v guest - WTMP： WTMP = /var/adm/wtmp Removing user guest at pos： 131328 Done! - UTMP： UTMP = /var/adm/utmp Removing user guest at pos： 864 Done! - LASTLOG： LASTLOG = /var/adm/lastlog User guest has no wtmp record。 Zeroing lastlog。。 - WTMPX： WTMPX = /var/adm/wtmpx Done! - UTMPX： UTMPX = /var/adm/utmpx Done!此时，在用w看时，我们看看发生了什么变化?yiming pts/29 Jun 12 09：24 (11.22.33.44) yiming pts/28 Jun 12 08：41 (11.22.33.43) root pts/19 Jun 12 08：19 (:0.0)我们可以看到入侵者消失了!这对入侵者是个好消息，但对一个安全意识较差的系统管理员而言，这台主机可不大妙了。建议如果系统看起来不大对劲，而用w，last等看出不出来端倪的话，还是安装其它系统监视软件如ttywatcher，ethereal等仔细审核一下。