进程记账日志，用astcomm工具访问

　　在这些日志文件中，最有用的是messages，secure这两个，图5是用more secure 加上|more这个管道的部分显示结果，从日志中我们可以看到哪些时候哪些用户从哪些地方登陆进系统，这对我们的响应取证非常有用。

　　以上是进行应急响应的最重要的一些步骤，当然针对具体的情况需要具体的分析，有时我们需要对包含用户账号的/etc/passwd文件进行检查，以查看是否有陌生的账号成为系统用户。我们也可以使用md5软件对系统中的重要命令和配置文件进行检查和定期对比，以发现潜在的入侵和攻击。另外我们还可以使用 portsentry这个工具进行检测，PortSentry在被保护的机器上是以daemon的形式运行的。在它运行期间，它会监听你指定的 TCP/UDP端口。假如它检测到一个端口扫描行为，它就会根据对方的IP地址，阻塞这个扫描主机与你机器之间的所有连接。总之Portsentry 就是一个反扫描工具。它可以实时发现并分析记录对本机的扫描， 它主要做以下工作：

　　通过 syslog 做记录；

　　将扫描的主机加入 /etc/hosts.deny；

　　马上禁止所有通向扫描主机的网络流量；

　　过滤掉所有来自扫描主机的网络流量。

　　Portsentry可以从http://www.psionic.com/abacus/portsentry这个网站下载相应文件，当前portsentry的最新版本为1.0版，下载后，需要进行解压，如下：

#gzip -d portsentry-1.0.tar.gz 

#tar xvf portsentry-1.0.tar

　　这样会生成一个名为portsentry-1.0的目录，我们进入这个目录，可以看到内有README.install等相关文件，为了顺利安装它，我们主要需要关注两个配置文件，portsentry_config.h和portsentry.conf.

　　"/usr/psionic/portsentry/portsentry.conf"是 portsentry 的主配置文件。您可以在这个文件中设置您所要监听的端口，以及哪些 ip 地址被拒绝，哪些被忽略等等信息。如果您了解详细的信息，可以查看 "README.install" 文件。

　　"/usr/psionic/portsentry/portsentry.ignore" 文件定义了在执行端口扫描分析时必须要忽略的主机，也就是说即使这些主机进行了扫描活动，portsentry 也不会采取任何行动。

　　Portsentry 有以下6种启动方式：

portsentry -tcp （basic port-bound TCP mode） 

portsentry -udp （basic port-bound UDP mode） 

portsentry -stcp （Stealth TCP scan detection） 

portsentry -atcp （Advanced TCP stealth scan detection） 

portsentry -sudp （"Stealth" UDP scan detection） 

portsentry -audp （Advanced "Stealth" UDP scan detection）

　　建议您可以使用下面两种方式启动 portsentry：

portsentry -atcp （Advanced TCP stealth scan detection） 

portsentry -sudp （"Stealth" UDP scan detection）

　　然后我们在/etc/rc.d/rc.local中加入/usr/local/psionic/portsentry/portsentry –atcp就可以在每次启动时自动启动portsentry了，这样系统就可以自动对一些端口进行检测，如果发现扫描就自动就ip加入 /etc/hosts.deny中，拒绝这台ip对机器的访问。

　　以上是应急响应的一些主要的步骤和流程，希望通过这些总结，给大家带来帮助。

上一页  [1] [2] [3]