Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 11:

Судебные средства

Просмотр файлов журналов

Необходимо внимательно просмотреть файлы журналов, когда вы ищете признаки беды. Файлы журналов Windows можно найти в разделе Event Viewer из Administrative Tools. В Linux и BSD-вариантах UNIX файлы журналов находятся в каталоге /var/log/. В других вариантах UNIX эти файлы также могут присутствовать, но их расположение может отличаться. В табл. 11.2 перечислены основные файлы журналов UNIX и их назначение.

Таблица 11.2. Файлы журналов UNIX
Файл журнала Описание
/var/log/messages Хранит общие системные сообщения
/var/log/secure Хранит сообщения аутентификации и безопасности
/var/log/wtmp Хранит историю входов в систему и выходов из нее
/var/run/utmp Хранит динамический список пользователей, находящихся в данный момент в системе
/var/log/btmp Только для Linux. Хранит все неудачные или неверные попытки входа.

Эти файлы могут располагаться несколько иначе или не существовать в других версиях UNIX. Программы также часто создают собственные файлы журналов, хранящиеся обычно в каталоге /var. Для просмотра этих файлов и поиска определенных цепочек символов или чисел (таких как IP-адреса и имена пользователей) можно воспользоваться текстовым редактором.

В табл. 11.3 перечислены несколько команд уровня операционной системы, которые можно применять в системах Linux и UNIX для быстрого просмотра этих файлов.

Таблица 11.3. Команды просмотра Linux и UNIX
Команда Описание
users Извлекает из файла utmp и выдает список пользователей, находящихся в данный момент в системе
w Выдает детальную информацию о пользователях, находящихся в системе, в том числе: как они вошли (локально или удаленно), IP-адрес, если вход удаленный, какие команды они выполняют. Эта команда очень полезна для поимки нарушителя "с поличным".
last Выдает наиболее свежие записи файла wtmp. Это также может быть весьма полезно, чтобы увидеть, кто, когда и насколько входит в систему. На листинге 11.4 приведен пример подобной выдачи
lastb Только для Linux. Делает то же, что и предыдущая команда, но для файла btmp - протокола неправильных входов. Здесь нарушитель может проявиться в первую очередь, если он совершил много неудачных попыток входа
tony    pts/0  10.1.1.1         Sun Sep 5  23:06  still logged in
tony    pts/0  10.1.1.1         Sun Sep 5  22:44 - 23:04 (00:20)
tony    pts/0  10.1.1.1         Sun Sep 5  21:08 - 21:16 (00:07)
tony    pts/0  10.1.1.1         Sun Sep 5  20:20 - 20:36 (00:16)
reboot  system boot 2.4.18-14   Sun Sep 5  17:32 (05:34)
tony    tty1                    Sun Sep 5  17:29 - down (00:01)
tony    pts/2  10.1.1.1         Sat Sep 4  23:02 - 23:34 (00:32)
tony    pts/2  10.1.1.1         Sat Sep 4  22:36 - 22:36 (00:00)
hank    pts/0  10.1.1.200       Sat Sep 4  12:13 - 12:22 (00:08)
hank    pts/0  adsl-66-141-23-1 Fri Sep 3  23:53 - 23:53 (00:00)
hank    pts/0  192.168.1.100    Fri Sep 3  14:47 - 14:47 (00:00)
tony    pts/3  192.168.1.139    Fri Sep 3  09:59 - down (00:01)
larry   pts/3  adsl-65-67-132-2 Thu Sep 2  22:59 - 23:11 (00:12)
tony    pts/3  10.1.1.1         Thu Sep 2  21:33 - 21:49 (00:16)
brian   pts/3  adsl-65-68-90-12 Thu Sep 2  18:23 - 18:31 (00:07)
hank    pts/5  192.168.1.139    Thu Sep 2  14:29 - 15:35 (01:06)
sam     pts/   dialup-207-218-2 Wed Sep 1  22:24 - 00:40 (02:16)
Листинг 11.4. Выдача команды last

Следует учитывать, что если ваша система была скомпрометирована, эти программы могут быть заменены "троянскими" копиями. Такие программы, как Tripwire (см. "Системы обнаружения вторжений" ), способны помочь определить, были ли искажены системные бинарные файлы. Вы должны сделать заведомо хорошие копии этих бинарных файлов, чтобы было возможным исполнение с безопасного загрузочного носителя, а не из системы. Помните также, что атакующие часто будут выборочно редактировать файлы журналов, чтобы стереть все следы своей деятельности. Однако если они просто удалят файлы журналов, вы, возможно, сумеете их восстановить. Кроме того, следует проверить все файлы журналов, так как некоторые новички удаляют лишь часть из них.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Елена Гогонова
Елена Гогонова
Россия, Магнитогорск
Алина Архипова
Алина Архипова
Россия, г белорецк