高手指点：入侵分析

Jackosn.K · 发表于 2004-9-18 22:00:59

系统提供了匿名ftp， web 和ssh ，端口有
21 22 80 443
系统没有发现任何异常，确信被入侵了，而且入侵者通过这台机子攻击了另一台主机，事件发生时间段的日志被整齐的删除了

从其他的地方也未发现异常，比如 portsentry ，last 记录也没发现异常
last记录并没被清空，它是如何修改的呢？

猜测是从ssh进入的，对不对？望各位大人指点一下！

望大家参与讨论！

Snoopy · 发表于 2004-9-19 02:43:58

如何修改你的日志 ? 他有了root想怎么修改你都行,

应该是web或是ftp有漏洞可利用,然后ssh到你机器去的吧

Jackosn.K · 发表于 2004-9-19 16:11:10

谢谢版主，

现在我不清楚 last的记录他是怎么改的？可否指点一下。

Snoopy · 发表于 2004-9-20 00:55:16

last被清空的话 , 可能是将/var/log/lastlog给删除重新touch一个了吧 ? 没测试过 , 如果修改的话,, 就不清楚了, 不知道日志文件放哪里

smartma · 发表于 2004-9-20 10:53:45

应该是这样来清空的吧，echo > /var/log/lastlog,

Jackosn.K · 发表于 2004-9-20 12:28:22

记录 last 信息的是 data 的二进制文件，
如果是清空就很好理解了，
不明白他是怎么截断的？？

感谢两位回复~~

Snoopy · 发表于 2004-9-20 17:40:40

最初由 Jackosn.K 发表
记录 last 信息的是 data 的二进制文件，
如果是清空就很好理解了，
不明白他是怎么截断的？？

感谢两位回复~~

截断或是修改 ?? /var/log/lastlog、/var/log/wtmp和/
var/run/utmp这三个如何修改它的日志内容呢 ???

Jackosn.K · 发表于 2004-9-20 19:37:42

主观上看信息好象是被截断了，特定时间段的信息被擦除了。。

Snoopy · 发表于 2004-9-21 17:48:06

最初由 Snoopy 发表
截断或是修改 ?? /var/log/lastlog、/var/log/wtmp和/
var/run/utmp这三个如何修改它的日志内容呢 ???

得想办法搞清楚它 ,, 谁知道的说说 !

smile787 · 发表于 2004-9-21 21:19:01

不知道发起什么攻击？有专门防火墙追踪LOG吗？

		自动登录	找回密码
密码			注册