بررسی لاگ فایل ها در لینوکس

[vc_row][vc_column][vc_column_text]

بررسی لاگ فایل ها در لینوکس

» سلام خدمت همه دوستان و کاربران محترم وبسایت آموزشی امنیتی سیاه .

در این قسمت در خدمت شما هستیم با بررسی تخصصی و عمیق لاگ فایل ها در لینوکس با ما همراه باشید (:

لاگ چیست ؟

» لاگ ها رخداد هایی میباشند که توسط افراد و یا ابزار ها در سیستم رخ میدهند و یک مدیر شبکه جهت بررسی اخرین اقدامات انجام شده در سیستم عامل و یا کل شبکه به این فایل ها رجوع میکند

برای مثال:

» در سرویس ایمیل شبکه شما یک نقص بوجود آمده است ، شما بعنوان یک ادمین شبکه جهت پیدا کردن این نقص به دنبال اخرین اقدامات انجام شده بر روی این سرویس ، به لاگ فایل های مربوط به این سرویس رجوع میکنید و قاعدتا به یک نتیجه مثبت خواهید رسید .

» موضوع اصلی ما در این بخش بررسی تخصصی و عمیق این لاگ فایل ها که بخش بسیار مهمی هستند برای مدیر شبکه و یا یک فرد نفوذگر.

» ادمین شبکه = جهت بررسی و پیداکردن اخرین اقدامات انجام شده در سیستم

» فرد نفوذگر = جهت پاک کردن اخرین اقدامات خود در سیستم و دور ماندن از دید ادمین شبکه و مراجع قانونی .

» بنابراین اگر جز این دو دسته هستید وبا علاقه مند به لینوکس،  توصیه میکنم تا آخر این بحث با ما همراه باشید تا درک درست و صحیحی از لاگ فایل ها در پلتفرم های لینوکسی داشته باشید.

لاگ فایل ها معمولا به سه شکل در پلتفرم ها ذخیره میشوند:

• application
• system
• security

» اما در لینوکس به چه شکل؟!

در این پلتفرم لاگ فایل ها در دایرکتوری و link file های مختلفی ذخیره میشوند ، در این بخش با چند دایرکتوری و ادرس مهم در بخش های لاگ آشنا خواهید شد

/var/log/secure/

» این فایل حاوی اطلاعاتی در مورد داده های ورودی موفق و غیر موفق میباشند که عبارت اند از نام کاربر و سیستم مبدایی که برای ورود استفاده میشود

و همینطور ابزار های کاربردی مانند :

• telnet
• rlogin
• rsh

و غیره در این فایل ذخیره میشوند .

/var/log/corn/var/log/httpd/

» از آنجایی که یکسری از نرم افزار های کاربردی لاگ های خود را به فایل های کلی مثل /var/log/messages/ میفرستد ، مابقی فایل های خاصی دارند

» برای مثال میتوان به سرویس دهنگان وب اشاره نمود که میتوانند طوری پیکربندی شوند که در خواست های http و دیگر رخداد ها را نسبت به لوگ فایل ها پیکربندی نمایسند.

نکته بسیار مهم :

لوگ فایل در UNIX در استاندارد ASCII نوشته میشوند و به مجوز هایمرتبه بالای ریشه، برای اصلاح نیاز دارند .

علاوه بر لاگ فایل های سیستم UNIX اطلاعاتی را در مورد دسترسی کاربر به فایل های اشتراکی گوناگون ذخیره میسازد
که توسط مدیران سیستم و کاربران استفاده میگردد تا فعالیت غیرعادی در سیتسم شناسایی گردد .

» هکرها جهت دور زدن این سرویس و بخش رخداد های سیستم به بخش های زیر وارد میشوند تا لاگ فایل ها و رد پاهای خود را پاکسازی کنند :

UTMP :

»  این فایل حاوی اطلاعات کسی را که اخیرا وارد سیستم شده است را ذخیره مینماید

» وقتی کاربر و یا مدیر شبکه با دستور who را تایپ میکند ، سیستم عامل مندرجات فایل utmp را بازیابی میکندتا نشان دهد چه فردی اخرین لاگین را به شبکه داشته است چراکه اطلاعات در این بخش ذخیره میشوند؛ و این فایل اهمیت زیادی برای هکر ها خواهد داشت برای پیدا کردن فایل utmp در لینوکس میتوانید در مسیر زیر به این فایل رجوع کنید :

/var/run/

/var/log/

WTMP :

» این فایل تمام لاگ های ورودی و خروجی از سیستم را ثبت میکند در برنامه های جانبی UNIX  این فایل ممکن است در مسیر های زیر وجود داشته باشد :

/var/log/

/var/adm/

دستور last در لینوکس چیست ؟! (:

» این دستور لیستی از تمام کاربرانی را نشان میدهد که بدخال سیستم لاگین کرده اند !

فایل lastlog چیست ؟!

» این فایل حاوی اطلاعاتی در مورد زمان و محل هر لاگ ورودی قبلی کاربر به سیستم میباشد.زمانی که شما در لینوکس دستور last را وارد میکنید همونطور که عرض کردم لینوکس لیست تمام کاربرانی که وارد سیستم شده اند را نشان میدهد

اما چطور این اتفاق میفتد؟

» ایا یک هکر با حذف کردن این فایل میتوان ردپای خود را پنهان کرد؟

» ببینید شما بعنوان یک هکر (اخلاقی) هدفتون در پاک کردن ردپا نباید حذف کردن این فایل ها باشد بلکه هدف شما باید تغییر پیکر بندی این فایل ها باشهو برای ایجاد این تغییر ها شما باید با مسیر هایی که این فایل ها(,wtmp.utmp,last) پیکرندی شده اند رو به دست بیارید

برای پیداکردن مسیر پیکربندی هرفایل در لینوکس میتوانید از دستور زیر استفاده کنید:

where last

و به شما مسیر را نشان خواهد داد

اما برای رجوع به محل پیکربندی دستور last به مسیر زیر یه سری بزنید :

usr/adm/lastlog

»  بنابراین زمانی که در سیستم دستور last وارد شود کرنل سیستم عامل به مسیر بالا رجوع کرده و مندرجات این فایل رو میخونه و در نهایت اطلاعات رو به شما برمیگردونه (:

»  امیدوارم که لذت کافی رو برده باشید  – ممنون از همراهی شما

این بخش ادامه خواهد داشت…

توضیه میکنم یه سری به بخش های زیر بزنید (;

پا کردن ردپا در سیستم عامل ویندوز کلیک کنید!

پاک کردن ردپا در سیستم عامل لینوکس کلیک کنید!

[/vc_column_text][/vc_column][/vc_row]