Linux 로그 분석

업데이트:

명령어 설명
aculog Dial-out 모뎀 사용 내역
history 사용자별 명령어
lastlog 사용자 최근 로그인 시간
loginlog 실패한 로그인 시도
maillog 메일 시스템 수행 내역
messages 부팅시의 시스템 콜솔 내용
secure 시스템 권한 관련 로그
sulog su 명령 사용 내역
utmpx 현재 로그인한 사용자 내역
vold.log 외부 매체 사용에 대한 에러
wtmpx 사용자의 로그인, 로그아웃 시간
xferlog ftp 사용 내역

로그 파일을 검사할 때는 주로 messages, last, secure등의 로그를 살펴 외부에서 공격한 공격로그가 남아있는지, 관리자가 추가하지 않은 사용자가 접속한 흔적은 있는지, 특정한 서비스에 접속한 흔적 등이 있는지 확인해 보아야 한다.

예) 버퍼오버플로우 공격을 받을 때 messages에 남는 로그

Jan 15 09:16:53 roo1-03 rpc.statd[838]: gethostbyname errorfor
^X??X??Z??Z??8x%8x%8x%8x%8x%8%62716x%hn%51859x%hn\
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\

예) 관리자가 추가하지 않은 사용자가 접속해 secure에 남은 로그

Feb 3 00:23:54 localhost sshd[1515]: Accepted password for amc from 80.97.191.237 port 1145
Feb 3 02:04:27 localhost sshd[1662]: Accepted password for amc from 80.97.158.154 port 59786
Feb 3 02:19:12 localhost sshd[1842]: Accepted password for amc from 80.97.158.154 port 59891
Feb 3 05:48:36 localhost sshd[3149]: Accepted password for amc from 80.97.158.154 port 41685
Feb 3 06:08:20 localhost sshd[3301]: Accepted password for amc from 80.97.158.154 port 41698
Feb 3 23:07:03 localhost sshd[8532]: Accepted password for amc from 80.97.191.142 port 1334

댓글남기기