12.5.3. Журнал FTP-сервера

12.5.3. Журнал FTP-сервера

Войдя в систему, взломщики нередко закачивают на сервер собственные программы для повышения своих прав или для открытия потайных дверей. Для закачки можно использовать FTP-протокол. Кто подключался к серверу можно узнать из файла /var/log/secure. А вот что закачивали — подскажет /var/log/xferlog. О журнале FTP-сервера мы уже немного говорили в разд. 10.3. Теперь познакомимся с ним поближе.

Журнал FTP-сервера текстовый, как и у почтового сервера, но мы его рассматриваем отдельно. Из моей практики, если вы используете сервис FTP, то именно он чаще всего приводит к проблемам. Нет, программа достаточно хороша, но злоумышленник, как правило, стремится получить доступ к учетной записи с правами на FTP, чтобы иметь возможность размещать свой боевой софт на сервере. С помощью анализа журнала вы быстро узнаете, кто и что закачивал.

Посмотрим на пример содержимого файла /var/log/xferlog:

Sun Jan 16 13:21:28 2005 1 192.168.77.10 46668 /home/flenov/sendmail.cf b _ o r flenov ftp 0 * c

Из данной строки видно, что 16 января в 13:21 пользователь с адреса 192.168.77.10 скачал файл /home/flenov/sendmail.cf.

Протокол FTP является наиболее опасным, потому что через него злоумышленник может скачать секретные данные (например, файл с паролями) или положить на сервер свою программу (в частности, rootkit или трояна). Необходимо научиться понимать каждую запись, чтобы знать, что происходит с файлами в системе. Давайте рассмотрим каждый параметр в журнале:

? полная дата, которая состоит из дня недели, месяца, числа, времени и года;

? продолжительность сеанса или время, потраченное на скачивание/закачивание файла;

? имя или IP-адрес удаленного хоста;

? размер файла в байтах;

? полный путь к файлу, который был скачен или закачен;

? тип передачи — буква a (символьная) или b (бинарная);

? символ, определяющий специальные действия над файлом:

 • C — сжат;

 • U — разархивирован;

 • T — обработан программой tar;

 • _ — не было никаких действий;

? символ, определяющий направление передачи: о (скачивание с сервера) или i (закачивание на сервер);

? символ, определяющий тип пользователя: a (анонимный), g (гость) или r (действительный);

? локальное имя пользователя. Для анонимных пользователей здесь можно увидеть номер ID;

? имя сервиса, обычно это слово ftp;

? способ аутентификации. Здесь можно увидеть 0, если определение подлинности отсутствовало, или 1 для идентификации по RFC 931;

? идентификатор пользователя. Если он не определен, то можно увидеть звездочку;

? символ, определяющий состояние передачи: с (прошла успешно) или i (была прервана).

Если вы никогда не работали с журналом FTP, то советую сейчас остановиться на минуту и внимательно изучить строку примера, показанную выше, и записи из вашего журнала. Вы всегда должны подходить к проблеме уже подготовленными, а не изучать ее после появления, иначе вы проиграете.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Журнал Компьютерра Журнал "Компьютерра" N740 (Компьютерра — 740) Бумажная Компьютерра N24 (740)

Из книги Журнал `Компьютерра` N740 автора Журнал «Компьютерра»

Журнал Компьютерра Журнал "Компьютерра" N740 (Компьютерра — 740) Бумажная Компьютерра N24 (740) Тема номера: Планеты людей Выпускающий редактор: Владислав БирюковДата выхода: 24 июня 2008


Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Бумажная Компьютерра N29 (745)

Из книги Журнал `Компьютерра` N745 автора Журнал «Компьютерра»

Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Бумажная Компьютерра N29 (745) Тема номера: Япония с другой стороны Выпускающий редактор: Владислав БирюковДата выхода: 12 августа 2008


Журнал

Из книги Мобильный интернет автора Леонтьев Виталий Петрович

Журнал Центр Избранного в левой части окна Internet Explorer можно использовать и для просмотра Журнала – списка всех посещенных вами страниц. В отличие от Избранного, которое составляет сам пользователь, Журнал создается автоматически: браузер, словно тайный сыщик,


Журнал работы

Из книги Работа в Интернете автора Макарский Дмитрий

Журнал работы Еще одна полезная возможность браузера – просмотр журнала работы (рис. 1.7). В Opera, в отличие от двух других рассматриваемых здесь браузеров, журнал работы называется История. Рис. 1.7. Просмотр журнала в браузере Internet ExplorerОбратиться к журналу бывает полезно,


Журнал Windows

Из книги Тонкости реестра Windows Vista. Трюки и эффекты автора Клименко Роман Александрович

Журнал Windows Можно запретить доступ к Журналу Windows (файл Journal.exe каталога %programfiles%Windows Journal). Для этого достаточно присвоить значение 1 параметру REG_DWORD-типа DisableJournal. Параметр расположен в ветви реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftTabletPC. Он также может находиться в ветви корневого


Журнал

Из книги Основы AS/400 автора Солтис Фрэнк

Журнал Журнал — это хронологическая запись изменений данных, предназначенная для восстановления предыдущей версии набора данных. В AS/400 поддерживаются журналы различных типов, в том числе журнал базы данных. При внесении изменения в запись журналируемого файла базы


16.3.5. Избранное и журнал

Из книги Самоучитель работы на компьютере автора Колисниченко Денис Николаевич

16.3.5. Избранное и журнал Если вы планируете периодически посещать ту или иную страницу, вам совсем не обязательно запоминать ее точный адрес. Достаточно нажать Ctrl+D, когда вы находитесь на интересующей вас странице. После этого страница будет добавлена в Избранное


Журнал

Из книги Интернет – легко и просто! автора Александров Егор

Журнал Закладки – вещь хорошая, но не будете же вы делать их для каждой увиденной веб-страницы. А ситуация, когда вдруг появляется необходимость вернуться на сайт, просмотренный несколько дней назад, возникает довольно часто. Вспомнить то, каким образом вы на него попали,


Журнал

Из книги Интернет для ваших родителей автора Щербина Александр

Журнал Грамотно настроенное избранное значительно облегчает навигацию по Интернету. Но со временем вы перестанете добавлять в папку Избранное сколь-нибудь интересные сайты, потому что ее размеры превысят все мыслимые границы. И может так получиться, что у вас возникнет


Журнал событий

Из книги Недокументированные и малоизвестные возможности Windows XP автора Клименко Роман Александрович

Журнал событий Служба обеспечивает запись сообщений в стандартные журналы Windows (Система, Приложения, Безопасность), просмотреть которые можно при помощи оснастки eventvwr.msc. Далее в этой книге оснастка Просмотр событий (eventvwr.msc) будет описана подробней. Служба Журнал событий


Журнал событий

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Журнал событий С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки Просмотр событий. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов


12.5.3. Журнал FTP-сервера

Из книги Социальные сети без страха для тех, кому за... автора Виннер Марина

12.5.3. Журнал FTP-сервера Войдя в систему, взломщики нередко закачивают на сервер собственные программы для повышения своих прав или для открытия потайных дверей. Для закачки можно использовать FTP-протокол. Кто подключался к серверу можно узнать из файла /var/log/secure. А вот что


12.5.4. Журнал прокси-сервера squid

Из книги Социальные сети. ВКонтакте, Facebook и другие… автора Леонтьев Виталий Петрович

12.5.4. Журнал прокси-сервера squid Основным журналом прокси-сервера squid является /var/log/squid/access.log. Это текстовый файл, в котором каждая строка состоит из следующих полей:? время начала соединения или события;? продолжительность сессии;? IP-адрес клиента;? результат обработки


Женский журнал

Из книги Linux и все, все, все... Статьи и колонки в LinuxFormat, 2006-2013 автора Федорчук Алексей Викторович


Живой журнал

Из книги автора

Живой журнал «Ведение блогов стало общепринятой порочной практикой, такой же, как любовные отношения среди подростков, детский алкоголизм и всеобщее падение нравов», – говорится в Ambassador Youth, ежемесячном издании Реформистской Церкви Господа (Reformed Church of God). «Блогинг


Идеальный журнал

Из книги автора

Идеальный журнал LinuxFormat, #78 (апрель 2006)Традиционно «толстые» компьютерные журналы разделяются на две части: блок новостей и, так сказать, «тело» журнала – собственно материалы номера. Оправдана ли такая организация в век тотальной интернетизации? В век, когда все, имеющие