下一步,login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。 /var/log/xferlog . H# \ I$ X5 H5 t& W( D+ V7 w
该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用。
/ C! O# d" a* d 该文件的格式为:第一个域是日期和时间,第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志或tar,或"_"(如果没有压缩的话)、传输方向(相对于服务器而言:i代表进,o代表出)、访问模式(a:匿名,g:输入口令,r:真实用户)、用户名、服务名(通常是ftp)、认证方法(l:RFC931,或0),认证用户的ID或"*"。下面是该文件的一条记录: 5 c2 j0 p$ \: O* }9 a7 e
QUOTE:
2 Z7 P) S4 D& W+ a/ @# N: tWed Sep 4 08:14:03 2002 1 UNIX 275531
2 Q2 J0 ^+ R. ?6 W/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c j( [6 a, }5 U7 K7 X6 s
/var/log/kernlog
* j1 e$ Y5 L2 V$ L+ ]% J- r$ I RedHat Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作,但如果记录了没有授权的用户进行的这些操作,就要注意,因为有可能这就是恶意用户的行为。下面是该文件的部分内容:
4 y4 N- X# A5 a% S1 f s2 ?8 @) [/ EQUOTE: / C9 L# D; Z* [8 f$ N" w6 _( @! V4 ~
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0 2 n% v+ h6 h8 h
Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
4 \9 K1 N& |, ?' j8 A1 J2 xSep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
* c. ^' S" m0 G$ `Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096) }- d8 f q7 V
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM
- U6 |, H- Y6 Q# V( Q8 I% n0 D5 v! _; F
Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0. |