云南龙网

  1. 首页 > 云知道 > >

里应外合:Linux下的后门和日志工具( 二 )

云知道



#tcp wrapper log
local3.info /var/log/tcplog

编辑结束后,保存文件,在/var/log下会生成tcplog文件,注意这个文件的读写属性,应该只对root有读写权限 。然后ps -ef | grep syslogd,找出syslogd的进程号,kill -HUP 重启syslogd进程使改动生效 。在这里,我们可以预先看一看以后生成的tcplog文件内容,如下:

Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1
Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5
Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3
Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5
Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1

从上面我们可以看到,在安装了Tcp_wrapper的主机上,系统的每一次连接,Tcp_wrapper都做了纪录,它的内容包括时间、服务、状态、ip等,对攻击这有很大的参考价值,不过,一定要记得清除日志了 。

推荐阅读


上一篇:怎样预防转群后肉鸡死亡

下一篇:OPPO R15刘海适配有问题吗?OPPO R15系统评测