快速业务通道

Linux 服务器日志文件查找技巧精粹

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-05-09

5、使用swatch工具搜索日志文件

swatch工具不是Red Hat Enterprise Linux发行版本的标准组成部分,但swatch工具很容易安装、配置和使用,你应该考虑下载并安装它.在开始使用它之前,还需要一个配置文件.在默认情况下,swatch工具将在启动它的那个用户的登录子目录里寻找.swatchrc文件(例如/home/rreck/.swatchrc),但你可以用“-f”选项为它另外指定一个配置文件,如下所示:

swatch –f /etc/.swatchrc

接下来,看看如何使用swatch工具从日志文件里发现黑客活动的踪迹以及发现之后该做些什么.

◆修改swatch配置以监测针对Apache的攻击

下面这个例子里的攻击手段是一种真实存在的攻击手段,我们来看看它会在日志文件里留下怎样的踪迹以及在发现这些踪迹后如何修改系统配置加以防御.在过去,mod_userdir模块(一个默认的Apache模块)的缺陷和它的默认配置,Apache的HTTP服务器经常受到攻击,攻击者可以用一种能扫描远程主机的程序获得远程主机上的某些用户账户信息.

该工具先检查是不是Apache,再检查它是不是有安防漏洞的那个版本,如果是,它将自动地使用很多常见的用户账户去试探目标系统.这种扫描非常快,根据网络连接和服务器的速度,扫描一个账户有时候不用一秒钟.扫描出来的用户信息将被黑客用来攻击FTP等其他系统服务,黑客已经确切地知道那些用户账户是存在的.这种攻击将在Apache的access_log日志里留下大量的事件记录.如果黑客试测的用户账户不存在,会在日志里留下404出错信息.

如果黑客试测的用户账户存在但不允许访问,会在日志里留下403出错信息.除了进入日志文件,这些出错信息还将返回到攻击者那里,这正是攻击者希望的.攻击者只对403出错信息感兴趣——导致403出错信息的账户在目标系统上是存在的,黑客可以针对这些账户发动下一步攻击.把下面几行代码添加到用swatch工具检查Apache日志文件时使用的.swatchrc文件里,就可以通过电子邮件知道哪些账户最有可能成为上述攻击手段的受害者:

这条日志消息表示,即使猜到了正确的口令字,rreck用户也不能登录.从黑客那边看,没有任何东西可以让他知道你已经改变了配置,他们怎么努力也不可能得逞.

总结:笔者想通过这个例子告诉大家,信息安全工作没有尽头;它需要长期持久的努力.降低或者消除风险的最佳办法是保持勤奋和警惕.一定要密切留意日志,一定要不断总结系统上各种正常活动的规律.时刻保持警惕并认真解读日志消息的含义,只有常备不懈,才能保证安全.对日志进行监控可以帮助你及时发现问题并指导你对有关配置做出针对性的修改.

说到,最好的安全防御措施就是采取行动.在事情发生之前把一切可以采取的措施都考虑周全会对今后产生极大的帮助,这将保证你在采取行动前不会浪费任何时间.提前做好安排还有助于避免在事情发生时的情绪化因素干扰你的判断和思考,保证你对事件做出的反应是在力所能及的范围内最合理有效的.【

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

上一页123
分享到: 更多
你可能对下面的文章感兴趣
上一篇: Ubuntu 8.04 升级到Ubuntu 8.10 初体验下一篇: 多合一小型 Linux 光盘

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号