rootshell时unset HISTFILESIZE,退出时忘了复原 , 留下一条痕迹 。诸如此类的例子还有很多 , 日志清除工具是死的 , 它只会清除预定义的
项目 , 虽然你也能修改源码 , 但那样还是不能随机应变 。最保险的方法就是手工劳动 , 这样就加大了入侵者的负担 。出于懒惰 ,
对系统掌握程度不够或是各种各样的原因往往还是会留下一些对我们有价值的东西 。所以 , 检查日志对应急响应来说非常重要 。
==============
执行关键字搜索
==============
无论是对何种操作系统进行应急响应 , 关键字搜索都是该过程的一部分 。针对某个具体事件 , 可能会有一些ID,phrase与此事件密切相关 ,
执行关键字搜索可以找到更多的信息 。关键字可以是很长的ASCII字符串 , 包括攻击者后门密码 , 用户名 , Mac地址或IP.
例:搜索整个文件系统中包含ay4z3ro字符串大小写形式的所有文件:
[root@ay4z3ro foo]# grep –r –i ay4z3ro /
strings命令用于显示文件中的可打印字符 , 例如:srings /bin/login用于显示login后门中的密码(未加密的明文 , 编码或加密后的散列) 。
Find命令用于寻找匹配常规表达式的任何文件名 。例:
在整个文件系统中搜索名为…的文件或目录:
[root@ay4z3ro foo]# find / -name “... –print
此外find命令可以匹配的特征还包括:修改访问时间 , 文件所有者 , 文件内的字符串 , 文件名的字符串等 。
推荐阅读
- 在SCO UNIX操作系统下架设简单路由器
- SCO UNIX--安装
- SCO UNIX系统root密码丢失的处理
- SCO UNIX--基本配置及操作
- SCO UNIX--机器启动的认识
- 一 SCO UNIX--高级进阶
- 二 SCO UNIX--高级进阶
- 三 SCO UNIX--高级进阶
- UNIX平台廉价双机容错方案
- Unix系统安全必读