假設(shè)你是一位使用Solaris操作系統(tǒng)的網(wǎng)站管理員，有一天你無(wú)意中在你硬盤/var/adm目錄下messages文件中看到了如下類似內(nèi)容：Apr 24 20：31：04 nmssa /usr/dt/bin/rpc.ttdbserverd[405]： _Tt_file_system：：findBest
MountPoint -- max_match_entry is null，aborting…
Apr 24 20：31：05 nmssa inetd[140]： /usr/dt/bin/rpc.ttdbserverd： Segmentation Faul
t - core dumped知道這意味著什么嗎?你的系統(tǒng)已有至少99%的可能性被侵入!
目前使用solaris的系統(tǒng)管理員都知道在/var區(qū)下有個(gè)目錄adm，在這個(gè)目錄下有messags，syslog，sulog，utmp等諸多日志文件，它們記錄著solaris系統(tǒng)產(chǎn)生的各種消息日志 。從系統(tǒng)管理員的角度來(lái)講，清楚的理解各個(gè)日志文件的功能及作用是很有必要的，在系統(tǒng)發(fā)生安全問(wèn)題時(shí)，這些日志紀(jì)錄可以在一定意義上起到幫助和診斷作用 。
我們來(lái)依次看看Adm目錄下的主要文件 。adm/messags我們先來(lái)看最為重要的messages文件，messages記載來(lái)自系統(tǒng)核心的各種運(yùn)行日志，包括各種精靈，如認(rèn)證，inetd等進(jìn)程的消息及系統(tǒng)特殊狀態(tài)，如溫度超高等的系統(tǒng)消息，可以說(shuō)它是系統(tǒng)最重要的日志之一 。messages可以記載的內(nèi)容是由/etc/syslog.conf決定的，有興趣的讀者可以使用man syslog.conf命令來(lái)做一個(gè)詳細(xì)了解，這里就不介紹了 。就安全的角度來(lái)講，目前互聯(lián)網(wǎng)上入侵者采用的手段大多數(shù)是利用系統(tǒng)的漏洞，而當(dāng)入侵者試圖利用漏洞對(duì)你的服務(wù)器進(jìn)行攻擊時(shí)，在服務(wù)器的messages文件中一般會(huì)留下一些異常的內(nèi)容，如本文最開(kāi)始描述的部分，就是目前互聯(lián)網(wǎng)上入侵者使用rpc.ttdbserver漏洞攻擊所留下的痕跡，它是solaris最為臭名昭著的一個(gè)系統(tǒng)漏洞，入侵者利用這個(gè)漏洞可以輕松的從遠(yuǎn)端得到超級(jí)用戶權(quán)限，但這種攻擊不是干凈的入侵攻擊，它會(huì)在messages下留下記錄，同時(shí)會(huì)在根目錄下生成core文件，如果細(xì)心的管理員經(jīng)常檢查系統(tǒng)日志，是不難發(fā)現(xiàn)有入侵者或入侵企圖的，又比如下面的紀(jì)錄：Apr 24 11：26：25 Unix.secu.com ftpd[7261]： anonymous (bogus) LOGIN FAILED [from 11.22.33.46]
Apr 24 11：27：23 unix.secu.com ftpd[7264]： 163 (bogus) LOGIN FAILED [from 11.22.33.49]
Apr 24 11：28：44 unix.secu.com ftpd[7265]： abc (bogus) LOGIN FAILED [from 11.22.33.46]管理員可以從上述紀(jì)錄中可以清楚看到在24日11點(diǎn)26，11點(diǎn)27，11點(diǎn)28分有可疑用戶在猜主機(jī)的ftp口令，它們的來(lái)源ip 分別是 11.22.33.46和11.22.33.49 。adm/sulogsulog中記載著普通用戶嘗試su成為其它用戶的紀(jì)錄 。它的格式為： 發(fā)生時(shí)間/-(成功/失敗) pts號(hào) 當(dāng)前用戶欲su成的用戶
我們截取一部分實(shí)際內(nèi)容，來(lái)看一下：SU 04/15 16：35pts/6 yiming-root
SU 04/15 16：43pts/4 root-yiming
SU 04/17 08：20 - pts/5 cheny-root
SU 04/18 16：36 - pts/4 cheny-root
SU 04/19 02：57pts/11 lizhao-root
SU 04/19 19：57pts/11 cys-root
SU 04/21 08：20 - pts/4 cheny-root
SU 04/21 16：36 - pts/8 cheny-root
SU 04/22 15：23 - pts/5 cheny-root對(duì)管理員來(lái)講，需要密切關(guān)注兩種用戶，第一是反復(fù)su失敗的，如以上cheny用戶，他有猜超級(jí)用戶口令的嫌疑 。第二是在不正常時(shí)間的su紀(jì)錄，如上述第六行用戶lizhao，隨然他正確的輸入了口令(在第四列中有 號(hào))但02：57分這個(gè)時(shí)間比較可疑，這是一個(gè)管理員不大可能工作的時(shí)間，要知道，入侵者可能安裝過(guò)sniffer之類的軟件，并利用它竊取到了超級(jí)用戶口令，為了進(jìn)一步做工作，如竊取主機(jī)敏感數(shù)據(jù)，入侵者需要進(jìn)行比較復(fù)雜的操作，但在白天這個(gè)系統(tǒng)管理員活動(dòng)的時(shí)間被發(fā)現(xiàn)的可能性是比較大的，所以即使入侵者得到了高權(quán)限的密碼，一般也會(huì)選擇深夜等管理員一般不工作的時(shí)間 。這些時(shí)候沒(méi)有人會(huì)抓他 。
【Solaris日志記錄介紹】