作為攻擊者當(dāng)然要知道系統(tǒng)是如何紀(jì)錄用戶的活動的情況的原理的了，呵呵，不然ip被記下來都不知道！

呵呵，其實(shí)一些人只會到/var/adm/目錄里去刪日志，那是很笨很笨的做法 。

前段時間在www.unixaid.net結(jié)識了一個外地的系統(tǒng)管理員，談了談，深有心得所以我把這些寫下來，呵呵 。

unix系統(tǒng)的日志其實(shí)是非常復(fù)雜和強(qiáng)大的，特別是solaris系統(tǒng)，因為源碼的不公開，所以被蒙上了一層神秘的面紗，我研究分析了一陣子得出的結(jié)論和大家分享，我的能力有限，還望大家多多指教 。

負(fù)責(zé)日志記帳的有兩個守護(hù)進(jìn)程：klogd,syslogd，我著重講這兩個進(jìn)程，當(dāng)然還有進(jìn)程記帳進(jìn)程，就不多介紹了，呵呵，因為基本上所有的系統(tǒng)動作都會被這兩個進(jìn)程監(jiān)視并紀(jì)錄，大家如果要編寫一些系統(tǒng)程序的話，也會用到syslog這個接口的，呵呵，klogd主要紀(jì)錄一些系統(tǒng)內(nèi)核的動作，對攻擊者最受影響的是syslogd這個進(jìn)程.它可以接收訪問系統(tǒng)的日志信息并且根據(jù)/etc/syslog.conf配置文件中的指令處理
這些信息 。因此，任何希望生成日志信息的程序都可向syslog接口呼叫來生成改信息 。大部分內(nèi)部系統(tǒng)工具如郵件和打印系統(tǒng)都是如此生成信息的，許多新增的程序如TCP_wrappers和SSH也是如此工作的 。講到這里，大家有點(diǎn)概念了吧？呵呵
/etc/syslog.conf的格式比較復(fù)雜，大家可以參考一下有關(guān)書籍，主要是如下語句形式：
facility.level　;action
facility代表各種服務(wù)，level代表syslog的認(rèn)證級別，action代表的是針對前面信息的處理 。大家可以注意action字段，有時候會把信息發(fā)送到另外一臺機(jī)器而不是熟悉的/var/adm/messages的，這下應(yīng)該知道這個文件的重要性了吧？如果真把日志發(fā)到另外一臺機(jī)器的話，就想辦法把那臺機(jī)器dos掉了，不是它死你是你亡啊，呵呵，有時會發(fā)送到/dev/console,/dev/tty1或/dev/lp1等等這樣的設(shè)備，就是發(fā)送到終端啊，呵呵，想想如果那終端作的是系統(tǒng)管理員，你不是很慘？

現(xiàn)在大家應(yīng)該知道不是刪刪/var/adm/messages就了事的吧?呵呵

好，下面介紹一下solaris的另外一個記帳，就是wtmp和utmp，說明一下大家常見到的wtmpx和utmpx是wtmp和utmp的擴(kuò)展罷了，大家可以參看wtmp.h，utmp.h里的定義的數(shù)據(jù)結(jié)構(gòu)，會有寫概念，呵呵，在solaris里是通過utmpd，wtmpd這兩個進(jìn)程來進(jìn)行記帳的，然后通過utmppipe這個管道文件向/var/adm/utmpx這個文件寫數(shù)據(jù)，當(dāng)然utmpx這個文件不是象messages一樣是文本形式的，它是二進(jìn)制的，只有who,finger命令可以訪問，呵呵，大家知道了吧？而last命令是訪問wtmpx的 。utmp是紀(jì)錄用戶的動態(tài)會話用的，而wtmp是紀(jì)錄用戶的登陸與推出的活動的，這就是區(qū)別，呵呵 。寫這篇

文章只是要提醒大家不要隨便刪日志，那很傻的，呵呵，最好自己編寫一些刪日志的小工具，很容易，大家參考一下utmp這個數(shù)據(jù)結(jié)構(gòu)就可以了，也可以用一個命令來刪除messages中的紀(jì)錄：
eagle~#;more;/var/adm/messages|grep;-v;或>/var/adm/messages
很簡單不是么？呵呵，當(dāng)然utmp,wtmp中的紀(jì)錄就要用程序解決了，也有現(xiàn)成的程序比如：

wtmpdump.c,marry.c,remove.c等等，呵呵都不錯的，我主頁上有下載，呵呵
attacker.qzone.com

好了，就說這么多了，重申一句，我只是為了讓大家進(jìn)行愛國主義行動的時候注意以下善后的工作，呵呵其中牽涉到的只是非常多，我很多沒有詳細(xì)說明和講解，希望大家重視日志，參考一下有關(guān)資料 。

忘了，這些是solaris中的情況，呵呵，在linux里又大不一樣，呵呵，linux里沒有utmpd這個進(jìn)程，是通過PAM的認(rèn)證模塊來進(jìn)行記帳的，PAM的資料大家可以參考一下書籍很復(fù)雜，說的話會近萬字呢，呵呵

推薦閱讀

• 

  魅族note9打開擲骰子功能教程
• 

  健身的女生一定要吃蛋白粉嗎
• 

  宮頸局部慢性炎癥會有什么反應(yīng) 慢性宮頸炎會有啥反應(yīng)
• 

  iqoopro手機(jī)怎么關(guān)閉負(fù)一屏 關(guān)閉負(fù)一屏教程
• 

  黃金分幾種
• 

  四大神獸是怎么死的
• 

  鼻炎吃什么藥 推薦幾種最有效的偏方
• 

  電子駕照可以用嗎?
• 

  拍拍貸綜合評分不足的原因是什么
• 

  提高Win10正式版續(xù)航時間的方法
• 

  汽車險種有哪些必須買的,汽車保險必須買的險種有哪些
• 

  英魂之刃怎么查看對方位置,《英魂之刃》埃及艷后
• 

  心智教育有必要嗎,心智教育有用嗎
• 

  湖北390能上什么大學(xué),江蘇理科生能報考什么大學(xué)
• 

  哈爾濱中醫(yī)藥大學(xué)造影多少錢,輸卵管不通做造影有用嗎
• 

  李白杜甫白居易的品質(zhì)

• Solaris 8 下RAID1和RAID5的安裝及恢復(fù)
• WAPI是什么怎么開啟？
• Solaris如何改變系統(tǒng)運(yùn)行級別 init
• Solaris 8 CDE 的目錄結(jié)構(gòu)
• Sun 數(shù)據(jù)存儲系統(tǒng)淺析
• 電腦f8怎么還原系統(tǒng)
• 心得！給廠方3230等s60系統(tǒng)的改進(jìn)與建議
• Solaris性能監(jiān)控的Swap空間管理
• 在本地OpenWindows V3.x系統(tǒng)顯示遠(yuǎn)程操作OpenWindows V2.x
• 3 Solaris8 公用桌面環(huán)境管理--配置登錄管理器檢查錯誤