浅谈入侵溯源过程中的一些常见姿势

常用的一些日志举例如下：

/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等信息  
/var/log/lastlog 记录登录的用户，可以使用命令lastlog查看  
/var/log/secure 记录大多数应用输入的账号与密码，登录成功与否  
/var/log/cron 记录crontab命令是否被正确的执行 

grep,sed,sort,awk几个命令灵活运用、关注Accepted、Failed password 、invalid特殊关键字一般也能轻松发现一些端倪如下：

经常一些攻击者忘记清除日志，就很方便能查看详细了。一个history命令，黑客的操作就一目了然。

当然了一些脚本执行完了之后往往最后会清除日志比如下面这样的往往就加大了难度，日志被清除了往往就更显得异常了。可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。

源于Linux一切皆文件与开源的特性，在溯源的过程中也有好处也有坏处，rootkit就是最麻烦的一件事情了。由于系统一些常用的命令明文都已经被更改和替换，此系统已经变得完全不可信，在排查溯源的过程中往往不容易发觉对安全服务的人员就有较高的技术要求了。

Windows平台下面的溯源就相对容易一些当然主要还是依靠windows的日志一般用 eventvwr命令打开事件查看器。默认分为三类：l应用程序、安全、性统 以evt文件形式存储%systemroot%system32config目录：

合理使用筛选器往往可以帮助我们更好的排查日志，比如怀疑是暴力破解入侵的筛选事件ID == 4625审核失败的日志，后续通过对时间的排查、以及源IP地址、类型与请求的频率进行分析来判断是否是来源于内网的暴力破解。

通过系统内部的日志来判断是否是恶意进程的运行状态。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!