前 言
真正的黑客永远都是我们崇敬的偶像!因为他们对网络的发展做出了自己的贡献。但现在好象自称黑客 的人越来越多了,难道你进入过一些机器且利用溢出得到了root权限就算是一个真正的黑客了吗?别的就不说了,你可能以为擦了utm*,wtm*,lastlog 等等,你就神出鬼没,来去无踪了,其实很可能差得太远了,你 的一举一动也许被记录的一清二楚,就算你跳过了,就算你改动了系统时间。。。
这么说吧,
你对Unix的日志系统清楚吗? 你知道你攻击前的每次Finger都可能被记录吗? 你考虑过管理员设置的第三方监控软件吗? 你知道Swatch,Tripwire吗? 你知道跨越网络登记吗? ... 如果你进入一些机器后,只是想学习一下系统操作,想找个编译资源,管理员也许会容忍你,但如果 你要是搞出了什么事情,你可不要有任何的侥幸心理,掩耳盗铃的事情最好不去做!
好了!大家还是认真学习些东西吧!尽我们自己的能力做些有益的事情。
基本日志文件
不同版本的Unix日志文件的目录是不同的,最常用的目录是:
/usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录下,或其子目录下,你可以找到以下日志文件(也许是其中的一部分):
lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp vold.log 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 下面按顺序仔细介绍一下
lastlog文件 Unix在lastlog日志文件中记录每一个用户注册进入系统的最后时间,在你每一次进入系统时,系统会显示出这个时间:
login: blackeyes password: h3ll0 Last login :Tue Jul 27 09:55:50 on tty01
lastlog告诉用户,要核对一下最后注册进入系统的时间是否争确,若系统显示的时间与你上次进入系统的时间不符,说明发生了非授权用户注册,若这种情况发生了,用户应该马上修改帐户口令,并通知管理员。在每次注册时,lastlog新的内容冲掉老的内容。标准版本的Unix没有提供服务程序可以阅读lastlog文件,有些程序可以提供这个服务,跟我们这里要 谈的东西关系不太大,以后再说了。
loginlog文件 Unix system V版本中,可以把不成功的登录行为记录在/var/adm/loginlog中。要登记不成功的注册行为,可以用下列命令建立/var/adm/loginlog文件: #touch /var/adm/loginlog #chmod 600 /var/adm/loginlog #chown root /var/adm/loginlog 如果你知道一个系统的用户名,而你又想猜出密码,/var/adm/loginlog就会记录你的失败的登录尝试 管理员看看/var/adm/loginlog的内容,你的企图就露馅了: #cat /var/adm/loginlog hacker: from 202.88.88.xx: Tue Jul 27 02:40:50 1999 hacker: from 202.88.88.xx: Tue Jul 27 02:41:50 1999 hacker: from 202.88.88.xx: Tue Jul 27 02:42:50 1999 hacker: from 202.88.88.xx: Tue Jul 27 02:43:50 1999 hacker: from 202.88.88.xx: Tue Jul 27 02:44:50 1999