Linux 服务器日志文件查找技巧精粹
|
5、使用swatch工具搜索日志文件 swatch工具不是Red Hat Enterprise Linux发行版本的标准组成部分,但
接下来,看看如何使用swatch工具从日志文件里发现黑客活动的踪迹以及发现之后该做些什么.
◆修改swatch配置以监测针对Apache的攻击 下面这个例子里的攻击手段是一种真实存在的攻击手段,我们来看看它会在日志文件里留下怎样的踪迹以及在发现这些踪迹后如何修改系统配置加以防御.在过去, 该工具先检查是不是Apache,再检查它是不是有安防漏洞的那个版本,如果是,它将自动地使用很多常见的用户账户去试探目标系统.这种扫描非常快,根据网络连接和服务器的速度,扫描一个账户有时候不用一秒钟.扫描出来的用户信息将被黑客用来攻击FTP等其他系统服务, 如果黑客试测的用户账户存在但不允许访问,会在日志里留下403出错信息.除了进入日志文件,这些出错信息还将返回到攻击者那里,这正是攻击者希望的.攻击者只对403出错信息感兴趣——导致403出错信息的账户在目标系统上是存在的,黑客可以针对这些账户发动下一步攻击.把下面几行代码添加到用swatch工具检查Apache日志文件时使用的.swatchrc文件里,就可以通过电子邮件知道哪些账户最有可能成为上述攻击手段的受害者: |
swatch工具很容易安装、配置和使用,
你应该考虑下载并安装它.在开始使用它之前,还需要一个配置文件.在默认情况下,swatch工具将在启动它的那个用户的登录子目录里寻找.swatchrc文件(例如/home/rreck/.swatchrc),但你可以用“-f”选项为它另外指定一个配置文件,如下所示:这条日志消息表示,即使猜到了正确的口令字,rreck用户也不能登录.从黑客那边看,没有任何东西可以让他知道你已经改变了配置,他们怎么努力也不可能得逞.
总结:笔者想通过这个例子告诉大家,信息安全工作没有尽头;它需要长期持久的努力.降低或者消除风险的最佳办法是保持勤奋和警惕.一定要密切留意日志,一定要不断总结系统上各种正常活动的规律.
时刻保持警惕并认真解读日志消息的含义,只有常备不懈,才能保证安全.对日志进行监控可以帮助你及时发现问题并指导你对有关配置做出针对性的修改.
说到
,最好的安全防御措施就是采取行动.在事情发生之前把一切可以采取的措施都考虑周全会对今后产生极大的帮助,这将保证你在采取行动前不会浪费任何时间.提前做好安排还有助于避免在事情发生时的情绪化因素干扰你的判断和思考,保证你对事件做出的反应是在力所能及的范围内最合理有效的.【
