12.5.3. Журнал FTP-сервера
12.5.3. Журнал FTP-сервера
Войдя в систему, взломщики нередко закачивают на сервер собственные программы для повышения своих прав или для открытия потайных дверей. Для закачки можно использовать FTP-протокол. Кто подключался к серверу можно узнать из файла /var/log/secure. А вот что закачивали — подскажет /var/log/xferlog. О журнале FTP-сервера мы уже немного говорили в разд. 10.3. Теперь познакомимся с ним поближе.
Журнал FTP-сервера текстовый, как и у почтового сервера, но мы его рассматриваем отдельно. Из моей практики, если вы используете сервис FTP, то именно он чаще всего приводит к проблемам. Нет, программа достаточно хороша, но злоумышленник, как правило, стремится получить доступ к учетной записи с правами на FTP, чтобы иметь возможность размещать свой боевой софт на сервере. С помощью анализа журнала вы быстро узнаете, кто и что закачивал.
Посмотрим на пример содержимого файла /var/log/xferlog:
Sun Jan 16 13:21:28 2005 1 192.168.77.10 46668 /home/flenov/sendmail.cf b _ o r flenov ftp 0 * c
Из данной строки видно, что 16 января в 13:21 пользователь с адреса 192.168.77.10 скачал файл /home/flenov/sendmail.cf.
Протокол FTP является наиболее опасным, потому что через него злоумышленник может скачать секретные данные (например, файл с паролями) или положить на сервер свою программу (в частности, rootkit или трояна). Необходимо научиться понимать каждую запись, чтобы знать, что происходит с файлами в системе. Давайте рассмотрим каждый параметр в журнале:
? полная дата, которая состоит из дня недели, месяца, числа, времени и года;
? продолжительность сеанса или время, потраченное на скачивание/закачивание файла;
? имя или IP-адрес удаленного хоста;
? размер файла в байтах;
? полный путь к файлу, который был скачен или закачен;
? тип передачи — буква a (символьная) или b (бинарная);
? символ, определяющий специальные действия над файлом:
• C — сжат;
• U — разархивирован;
• T — обработан программой tar;
• _ — не было никаких действий;
? символ, определяющий направление передачи: о (скачивание с сервера) или i (закачивание на сервер);
? символ, определяющий тип пользователя: a (анонимный), g (гость) или r (действительный);
? локальное имя пользователя. Для анонимных пользователей здесь можно увидеть номер ID;
? имя сервиса, обычно это слово ftp;
? способ аутентификации. Здесь можно увидеть 0, если определение подлинности отсутствовало, или 1 для идентификации по RFC 931;
? идентификатор пользователя. Если он не определен, то можно увидеть звездочку;
? символ, определяющий состояние передачи: с (прошла успешно) или i (была прервана).
Если вы никогда не работали с журналом FTP, то советую сейчас остановиться на минуту и внимательно изучить строку примера, показанную выше, и записи из вашего журнала. Вы всегда должны подходить к проблеме уже подготовленными, а не изучать ее после появления, иначе вы проиграете.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Журнал
Журнал Журнал — это хронологическая запись изменений данных, предназначенная для восстановления предыдущей версии набора данных. В AS/400 поддерживаются журналы различных типов, в том числе журнал базы данных. При внесении изменения в запись журналируемого файла базы
Журнал
Журнал Закладки – вещь хорошая, но не будете же вы делать их для каждой увиденной веб-страницы. А ситуация, когда вдруг появляется необходимость вернуться на сайт, просмотренный несколько дней назад, возникает довольно часто. Вспомнить то, каким образом вы на него попали,
12.5.3. Журнал FTP-сервера
12.5.3. Журнал FTP-сервера Войдя в систему, взломщики нередко закачивают на сервер собственные программы для повышения своих прав или для открытия потайных дверей. Для закачки можно использовать FTP-протокол. Кто подключался к серверу можно узнать из файла /var/log/secure. А вот что
12.5.4. Журнал прокси-сервера squid
12.5.4. Журнал прокси-сервера squid Основным журналом прокси-сервера squid является /var/log/squid/access.log. Это текстовый файл, в котором каждая строка состоит из следующих полей:? время начала соединения или события;? продолжительность сессии;? IP-адрес клиента;? результат обработки
Журнал
Журнал Центр Избранного в левой части окна Internet Explorer можно использовать и для просмотра Журнала – списка всех посещенных вами страниц. В отличие от Избранного, которое составляет сам пользователь, Журнал создается автоматически: браузер, словно тайный сыщик,
Журнал событий
Журнал событий Служба обеспечивает запись сообщений в стандартные журналы Windows (Система, Приложения, Безопасность), просмотреть которые можно при помощи оснастки eventvwr.msc. Далее в этой книге оснастка Просмотр событий (eventvwr.msc) будет описана подробней. Служба Журнал событий
Журнал событий
Журнал событий С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки Просмотр событий. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов
Живой журнал
Живой журнал «Ведение блогов стало общепринятой порочной практикой, такой же, как любовные отношения среди подростков, детский алкоголизм и всеобщее падение нравов», – говорится в Ambassador Youth, ежемесячном издании Реформистской Церкви Господа (Reformed Church of God). «Блогинг
Журнал работы
Журнал работы Еще одна полезная возможность браузера – просмотр журнала работы (рис. 1.7). В Opera, в отличие от двух других рассматриваемых здесь браузеров, журнал работы называется История. Рис. 1.7. Просмотр журнала в браузере Internet ExplorerОбратиться к журналу бывает полезно,
Журнал Windows
Журнал Windows Можно запретить доступ к Журналу Windows (файл Journal.exe каталога %programfiles%Windows Journal). Для этого достаточно присвоить значение 1 параметру REG_DWORD-типа DisableJournal. Параметр расположен в ветви реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftTabletPC. Он также может находиться в ветви корневого
Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Бумажная Компьютерра N29 (745)
Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Журнал Компьютерра Журнал "Компьютерра" N745 (Компьютерра — 745) Бумажная Компьютерра N29 (745) Тема номера: Япония с другой стороны Выпускающий редактор: Владислав БирюковДата выхода: 12 августа 2008
Журнал Компьютерра Журнал "Компьютерра" N740 (Компьютерра — 740) Бумажная Компьютерра N24 (740)
Журнал Компьютерра Журнал "Компьютерра" N740 (Компьютерра — 740) Бумажная Компьютерра N24 (740) Тема номера: Планеты людей Выпускающий редактор: Владислав БирюковДата выхода: 24 июня 2008
Журнал
Журнал Грамотно настроенное избранное значительно облегчает навигацию по Интернету. Но со временем вы перестанете добавлять в папку Избранное сколь-нибудь интересные сайты, потому что ее размеры превысят все мыслимые границы. И может так получиться, что у вас возникнет
Идеальный журнал
Идеальный журнал LinuxFormat, #78 (апрель 2006)Традиционно «толстые» компьютерные журналы разделяются на две части: блок новостей и, так сказать, «тело» журнала – собственно материалы номера. Оправдана ли такая организация в век тотальной интернетизации? В век, когда все, имеющие
16.3.5. Избранное и журнал
16.3.5. Избранное и журнал Если вы планируете периодически посещать ту или иную страницу, вам совсем не обязательно запоминать ее точный адрес. Достаточно нажать Ctrl+D, когда вы находитесь на интересующей вас странице. После этого страница будет добавлена в Избранное