深度CentOS通过日志反查入侵.docx

深度解析CentOS通过日志反查入侵昨 天晚上群里有一个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。刚好手里有些资料我就整理整理贴出 来分享一下。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。下面就一一道来。大纲Linux日志系统简介Linux日志分析Linux日志入侵发现实例分析Linux日志系统简介日志的主要用途是系统审计、监测追踪和分析统计。为了保证 Linux 系统正常运行、准确解决遇到的各种各样的系统问题认真地读取日志文件是管理员的一项非常重要的任务。UNIX/ Linux采用了syslog工具来实现此功能如果配置正确的话所有在主机上发生的事情都会被记录下来不管是好的还是坏的。什么是 syslogLinux 内核由很多子系统组成包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息这些消息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区于是就有了 syslog。syslog 是一个综合的日志记录系统。它的主要功能是方便日志管理和分类存放日志。 syslog 使程序设计者从繁重的、机械的编写日志文件代码的工作中解脱出来使管理员更好地控制日志的记录过程。syslog 能设置成根据输出信息的程序或重要程度将信息排序到不同的文件。例如由于核心信息更重要且需要有规律地阅读以确定问题出在哪里所以要把核心信息与其他信息分开来单独定向到一个分离的文件中。管理员可以通过编辑 /etc/syslog.conf 来配置它们的行为。syslogd的配置文件syslogd 的配置文件 /etc/syslog.conf 规定了系统中需要监视的事件和相应的日志的保存位置。# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? /dev/console# 将 info 或更高级别的消息送到 /var/log/messages# 除了 mail/news/authpriv/cron 以外。# 其中*是通配符代表任何设备none 表示不对任何级别的信息进行记录。*.info;mail.none;news.none;authpriv.none;cron.none ? ? ?/var/log/messages# 将 authpirv 设备的任何级别的信息记录到 /var/log/secure 文件中# 这主要是一些和认证、权限使用相关的信息。authpriv.* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?/var/log/secure# 将 mail 设备中的任何级别的信息记录到 /var/log/maillog 文件中这主要是和电子邮件相关的信息。mail.* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?-/var/log/maillog# 将 cron 设备中的任何级别的信息记录到 /var/log/cron 文件中# 这主要是和系统中定期执行的任务相关的信息。cron.* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?/var/log/cron# 将任何设备的 emerg 级别或更高级别的消息发送给所有正在系统上的用户。*.emerg ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? *# 将 uucp 和 news 设备的 crit 级别或更高级别的消息记录到 /var/log/spooler 文件中。uucp,news.crit ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?/var/log/spooler# 将和本地系统启动相关的信息记录到 /var/log/boot.log 文件中。local7.* ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?/var/log/boot.log# 将 news 设备的 crit 级别的消息记录到 /var/log/news/news.crit 文件中。news.=crit ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? /var/log/news/news.crit# 将 news 设备的 err 级别的消息记录到 /var