下一步,login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。 /var/log/xferlog $ U( m! w0 e7 `) v6 z1 m
该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用。
' O/ b ?5 c- I: R, g; B8 d6 h) Q& z 该文件的格式为:第一个域是日期和时间,第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志或tar,或"_"(如果没有压缩的话)、传输方向(相对于服务器而言:i代表进,o代表出)、访问模式(a:匿名,g:输入口令,r:真实用户)、用户名、服务名(通常是ftp)、认证方法(l:RFC931,或0),认证用户的ID或"*"。下面是该文件的一条记录:
4 t, E: h! R/ qQUOTE: 5 m3 I5 G- n! S' J# x3 C
Wed Sep 4 08:14:03 2002 1 UNIX 275531 + ]. @/ r' q7 _# h1 g( Z0 Z
/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c
& j+ ] k6 p- L$ e% Y/var/log/kernlog " R* V5 i6 A' Y* S
RedHat Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作,但如果记录了没有授权的用户进行的这些操作,就要注意,因为有可能这就是恶意用户的行为。下面是该文件的部分内容:
K2 @, W# d4 F' X, ~QUOTE: $ \8 ^' Z( V! Q
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0
- z! r- |' U7 _6 N" }1 s: d4 ~Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP + m! J: j/ {2 s! w8 x( P
Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes ) R. F/ n: o) x# ~/ B: L
Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
: t& Y. G- {* t/ v0 |. c) l' GSep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM 7 y4 {0 I+ M" d8 S( T, @" S
2 D$ [9 X1 S: v+ `$ k4 K bSep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0. |