作為黑客,日誌檔案可以跟蹤目標的活動和身份。但它也可以是你自己在別人系統上的活動痕跡。攻擊方使用日誌系統,抹掉自己的痕跡,防守方備份日誌系統,尋找攻擊方。
保護系統,知道如何管理日誌記錄功能,以確定系統是否受到攻擊,破譯實際發生的事情以及是誰在攻擊你。查到第乙個攻擊目標,進一步確認目標的日誌系統看是否為跳板還是真正的攻擊源。
本章描述如何檢查和配置日誌檔案,以及如何刪除活動的證據,甚至完全禁用日誌記錄。首先,我們將看看執行日誌記錄的守護程序。
rsyslog日誌記錄守護程序
linux使用乙個名為syslogd的守護程序來自動記錄計算機上的事件。syslog的幾個變體,包括rsyslog和syslog-ng,在linux的不同發行版上使用,它們很相似,但仍然存在一些細微差異。由於kali是在debian上構建的,debian預設情況下帶有rsyslog,本章重點介紹這個。如果你使用了其他發行版,有必要對它們的日誌系統做一些研究。
搜尋與rsyslog相關的所有檔案
locate rsyslog
我們要檢查的是配置檔案rsyslog.conf
rsyslog配置檔案
使用任何文字編輯器開啟配置檔案
leafpad /etc/rsyslog.conf
其中大量注釋解釋了它的使用者。此時,這些資訊中的大部分對你沒有用處,導航到第50行以下,找到rules部分。可以為linux系統將自動為你記錄的內容設定規則。
rsyslog日誌記錄規則
作為一名黑客,這執行你找出正在記錄的日誌以及這些日誌的寫入位置,以便你可以刪除或保護它們。
每一行都是乙個單獨的日誌記錄規則,說明記錄了哪些訊息以及記錄到**。這些規則的基本格式如下:
facility.priority action
facility關鍵字引用正在記錄其訊息的程式,例如郵件、核心或列印系統。priority關鍵字決定為該程式記錄哪種型別的訊息。在最右邊的action關鍵字引用將傳送日誌的位置。
facility,指生成日誌的任何軟體,無論是核心、郵件系統還是使用者。
auth/authpriv 安全/授權訊息
cron時鐘守護程序
daemon其他守護程序
kern核心訊息
lpr列印系統
mail郵件系統
user常規使用者級別訊息
使用logrotate自動清理日誌
logrotate通過將日誌檔案移動到其他位置來定期歸檔日誌檔案的過程,在指定的一段時間之後,歸檔的位置將被清理。
系統已經在使用logrotate實用程式的cron作業切割轉儲日誌檔案。可以配置logrotate實用程式,以使用/etc/logrotate.conf文字檔案選擇日誌轉儲備份的規律性。
每四周轉存日誌。
保持隱身
禁用日誌記錄,刪除日誌檔案中你入侵的任何證據,以減少被檢測到的機會。很多方法可以做到這一點,每種方法都由自己的風險和可靠性。
刪除證據 為什麼公開攻擊手法?安全的核心就是:未知攻,焉知防。
從地球誕生到現在:不存在從理論100%反推出新的實現,只能從實現總結成為理論,這個過程不可逆。
安全的本質:收集所有攻擊手法,從所有手法中堵住攻擊渠道。進攻它,總結詳細報告,將致命手段替換成為試探手段。將報告交給防禦者,將是建設安全產品的本質思路。【將攻擊手段毫無保留的告訴防禦者,這是乙個多國家的時代,遮蔽技術是愚蠢的思路。你封國與遮蔽,其他國家將增加更多的攻擊與防禦手段。最後你將發現,自己在掩耳盜鈴。】而且,對於人類發展,以後注定要探索宇宙,危機在地球之外。不分你是哪國我是哪國人,統稱為地球人。做強做大就得走開源技術的路,多結善緣,不要小家子氣,作繭自縛。
當下現狀:各個團隊各種為營,或為利,或為義。大部分不允許公開內部資料。給團隊以外的交流和教學之用也帶來嚴重阻礙。這裡建議,反正都是團隊,要選擇的話,選擇更大的平台,hackerone或者github。既然規定不公開就得尊重他們。對於公開的人來說,你應該加入到更大的平台中,去做更有成就的事情,使得人生更有意義。
你需要刪除活動的任何日誌,你可以簡單地開啟日誌檔案,並使用前面提到的檔案刪除技術,逐行準確地刪除詳細描述你的活動的任何日誌。然而,這會很耗時,並且在日誌檔案中留下時間間隔,這看起來很可疑。此外,刪除的檔案通常可疑由乙個熟練的取證調查員恢復。
更好、更安全的解決方案是分解日誌檔案。對於其他檔案刪除系統,熟練的調查員仍然能夠恢復已刪除的檔案,但是假設有一種方法可以刪除檔案並多次擦寫覆蓋它,這使得恢復變得更加困難。幸運的是,linux有乙個內建命令,名為shred,正是為了這個目的。
shred --help 在取證過程中,知道攻擊手法以後,就可以預判攻擊方的專業程度。並及時再備份乙份日誌到其他地方。
shred 最基本形式,預設情況下,覆蓋4次。通常,檔案被覆蓋的次數越多,恢復起來就越困難,每次覆蓋都需要時間。
-f選項,它更改檔案的許可權,以便在需要更改許可權時允許覆蓋;-n選項,選擇覆蓋檔案的次數。
shred -f -n 10 /var/log/auth.log.* -f選項確保命令順暢的執行
現在嘗試開啟乙個日誌檔案,看到其中的內容是難以理解的亂碼
現在,安全工程師將發現沒有任何用處,因為沒有乙個是可恢復的。
禁用日誌記錄
另乙個覆蓋跟蹤的選項是禁用日誌記錄。這需要root特權。
只需要停止rsyslog守護程序。停止linux中的任何服務使用相同語法。
service servicename start|stop|restart
因此,要停止日誌守護程序,只需要輸入以下命令
service rsyslog stop
現在linux將停止生成任何日誌檔案,直到服務重新啟動,使你能夠在日誌檔案中不留下任何證據的情況下進行操作。
28 日誌系統rsyslog
日誌管理基礎 rsyslog 日誌管理 logrotate日誌輪轉 採集 分析 一 處理日誌的程序 rsyslogd 絕大部分日誌記錄,和系統操作有關,安全,認證sshd,su,計畫任務at,cron httpd nginx mysql 可以自己的方式記錄日誌 root fanhua ps aux ...
spring5日誌系統
1 jcl jcl底層依賴於log4j和jul,如果有log4j就使用log4j記錄日誌,沒有就是用jul spring5底層日誌系統依賴的是spring jcl,和傳統的jcl common logging.jar 有區別,首先是嘗試加log4j2裡面的乙個extendedlogger,然後嘗試載...
2007 09 22 日誌 轉折日
最近太忙了,忙到真的連看自己blog的時間都沒有了 更別提更新了 看著各種排名的全線飄綠 慘不忍睹,我的那個心啊,哇涼哇涼的啊 不過,忙碌的工作收穫也是巨大的 我們的團隊取得了驕人的成績!在此,我對團隊的每個成員表示衷心的感謝。我相信,中國的外包史上將銘刻這幾位同事的名字,他們是 成績歸成績,缺點也...