Синхронизация системных часов

Следует также убедиться в том, что все журнальные сообщения снабжены правильными метками времени. Чтобы добиться этого, следует синхронизировать системные часы всех компьютеров. Это можно сделать с помощью трех утилит: rdate, timed и xntp. Все они входят в дистрибутив Red Hat.

Примеры журнальных сообщений

В листинге показана последовательность записей о неудачных попытках регистрации в системе. Эти сообщения выдаются программой login и модулем РАМ. Возможно, имела место попытка взлома.

Сообщения о неудачных попытках войти в систему через одну и ту же учетную запись

Маг 2 17:54:15 topcat login[14435]: FAILED LOGIN 1 FROM roadrunner FOR guest. Authentication failure
Mar 2 17:54:23 topcat login[14435]: FAILED LOGIN 2 FROM roadrunner FOR guest, Authentication failure
Mar 2 17:54:28 topcat login[14435]: TOO MANY LOGIN TRIES (3) FROM roadrunner FOR guest, Have exhausted maximum number of retries for service. Mar 2 17:54:28 topcat PAM_pwdb[14435]: 3 authentication failures; (uid=0) -> guest for login service

При разных атаках последовательность сообщений будет разной. Сформировать спи-сок шаблонов трудно из-за динамической природы атак. В листинге показана другая последовательность сообщений.

Сообщения о неудачных попытках войти в систему через разные учетные записи
Маг 2 18:00:10 topcat login[14478]: FAILED LOGIN 1 FROM roadrunner FOR guest. Authentication failure
Mar 2 18:00:16 topcat login[14478]: FAILED LOGIN 2 FROM roadrunner FOR joe, Authentication failure
Mar 2 18:00:20 topcat login[14478]: FAILED LOGIN 3 FROM roadrunner FOR тагу, Authentication failure
Mar 2 18:00:24 topcat login[14478]: FAILED LOGIN SESSION FROM roadrunner FOR sdm, Authentication failure
Mar 2 18:00:24 topcat PAM_pwdb[14478]: 1 authentication failure; (uid=0) -> sdm for login service
Mar 2 18:00:24 topcat PAM_pwdb[14478]: 1 authentication failure; (uid=0) -> тагу for login service
Mar 2 18:00:24 topcat PAM_pwdb[14478]: 1 authentication failure; (uid=0) -> joe for login service
Mar 2 18:00:24 topcat PAM_pwdb[14478]: 1 authentication failure; (uid=0) -> guest for login service

Главное — заметить похожие ключевые слова или фразы, которые можно использовать для написания сценария, выявляющего попытки взлома. В данном случае в обоих примерах идентификатор процесса (число в квадратных скобках после ключевого слова login или PAM_pwdb) одинаков. Таким образом, несложно написать сценарий, который обнаруживает записи с ключевой фразой authentication failure и одинаковым идентификатором процесса.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок