Cómo saber quién hackeó mi servidor

Mi servidor de alojamiento en China Telecom también fue invadido y, aunque instalé un firewall duro, no pude detenerlo. A veces me pregunto si alguien me está saboteando deliberadamente.

El país es Las leyes en esta área no pueden seguir el ritmo y hay demasiados delincuentes. Tienes que confiar en ti mismo. El siguiente es un artículo extraído que es relativamente largo y oscuro, pero al menos lo entiendes. el principio de seguimiento. En cuanto a si se puede rastrear, esto implica en muchos aspectos. La clave es tomar precauciones.

Estrategia de seguridad del sistema: cómo rastrear intrusos

Rastreo de intrusos. (Rastreo de intrusos)

Es posible que haya oído hablar del método llamado "modo de transmisión" para enviar datos en una red de área local. Este método no especifica la estación receptora, siempre que estén todos los dispositivos de red conectados. a esta red son los destinatarios. Pero esto sólo se puede implementar en una red local porque no hay muchas máquinas en la red local (en comparación con Internet). Si hay decenas de millones de hosts en Internet, sería imposible implementar la transmisión de datos (en cuanto a IP Multicast, es una transmisión restringida. Solo la máquina designada la recibirá y otras computadoras en Internet no la recibirán). . llegar). Suponiendo que se pueda implementar la transmisión sin restricciones en Internet, si cualquier persona envía un mensaje de transmisión, las computadoras de todo el mundo se verán afectadas, ¿no estaría el mundo en un caos? Por lo tanto, cualquier enrutador o dispositivo de red similar dentro de la red local no reenviará mensajes de difusión dentro de su propia red local. Si se recibe un mensaje de difusión en el puerto WAN, no se reenviará a su propio puerto LAN.

Dado que Internet tiene estaciones de envío y estaciones de recepción para identificar al remitente y al receptor de información, a menos que la otra parte use algún método especial de encapsulación de paquetes o use un firewall para conectarse al exterior, siempre que alguien se comunica con su host (ya sea enviando una carta, telnet o ftp), debe conocer la dirección de la otra parte. Si la otra parte usa un firewall para comunicarse con usted, al menos puede saber la ubicación del firewall. Precisamente porque mientras alguien esté conectado contigo, puedes saber la dirección de la otra persona, por lo que saber la ubicación de la otra persona es sólo una cuestión de si hacerlo o no. Si la otra parte está conectada a usted a través de un host UNIX, incluso puede averiguar quién está conectado a usted a través de ident.

En una computadora que implementa el protocolo TCP/IP, generalmente puedes usar el comando netstat para ver el estado actual de la conexión. (Los amigos pueden probarlo en win95, Novell y UNIX (Nota 1). En el estado de conexión a continuación, el comando netstat se ejecuta en win95. Puede ver que actualmente hay un host en el puerto telnet de su máquina (dirección local). workstation.variox.int está conectado desde el extremo remoto (Dirección extranjera) y asignado al puerto tcp No. 1029. El host cc unix1 también está conectado a workstation.variox.int a través de ftpport. Todo el estado de la conexión se puede ver claramente (. Como A, B)

A. Ver netstat en el host UNIX (ccunix1.variox.int)

B. Ver netstat en el otro extremo de Windows95 (workstation.variox. int), aunque son sistemas operativos diferentes, ¿netstat se parece?

Configuración de registro del proceso de comunicación

Por supuesto, si desea registrar la conexión de red Para registrarla, puedes usar la tabla cron para ejecutarlo regularmente: netstat>>filename

Sin embargo, el sistema UNIX ya ha considerado este requisito, por lo que hay un demonio en el sistema dedicado a registrar eventos del sistema: syslogd, que debería Muchos amigos saben que hay dos archivos de registro del sistema en /var/adm del sistema UNIX: syslog y mensajes. Uno es el registro general del sistema y el otro es el registro central.

Pero, ¿de dónde proceden estos dos archivos y cómo configurarlos?

Los registros del sistema son generados básicamente por syslogd (System Kernel Log Daemon), y syslogd está controlado por /etc/syslog.conf. syslog.conf utiliza dos campos para determinar qué registrar y dónde registrarlo. El siguiente es un archivo yslog.conf adjunto al sistema Linux. Esta es también la forma más estándar de escribir syslog.conf:

El formato es este. En la primera columna, escriba "bajo qué circunstancias". " y "qué grado". Luego use la tecla TAB para saltar a la siguiente columna y continúe escribiendo "Qué hacer después de cumplir las condiciones". El autor de este archivo syslog.conf es muy honesto y te dice que sólo puedes usar TAB para separar columnas (aunque parece que no sabe por qué). La primera columna contiene las circunstancias y el alcance, separados por puntos decimales. Además, el asterisco representa todas las opciones de un determinado artículo. El método de configuración detallado es el siguiente:

1. Bajo qué circunstancias: varias situaciones están determinadas por las siguientes cadenas.

auth trata sobre la seguridad del sistema y la autenticación del usuario

cron trata sobre la ejecución programada automática del sistema (CronTable)

daemon trata sobre programas de ejecución en segundo plano

kern Acerca de los aspectos centrales del sistema

lpr Acerca de la impresora

mail Acerca del aspecto del correo electrónico

noticias Acerca del área de discusión de noticias

syslog Acerca del registro del sistema en sí

user Acerca del usuario

uucp Acerca de UNIX Mutual Copy (UUCP)

Los anteriores son la mayoría de ellos Todos los sistemas UNIX tendrán esta situación y algunos sistemas UNIX pueden dividirse en diferentes proyectos.

2. En qué nivel se debe registrar:

Los siguientes son varios niveles de estado del sistema, ordenados por prioridad.

ninguno No registrar este elemento

programa de depuración o mensaje de depuración del sistema en sí

información información general

recordatorio de aviso

err Se produjo un error

advertencia advertencia

crit Una advertencia más grave

alerta Una advertencia más grave

emerg ya está muy serio

Del mismo modo, varios sistemas UNIX pueden tener diferentes grados de expresión. Algunos sistemas no distinguen entre crítico y alerta, y algunos sistemas tienen más tipos de cambios de grado. Al iniciar sesión, syslogd registrará automáticamente el nivel que configuró y todo lo que esté por encima de él. Por ejemplo, si desea que el sistema registre eventos de nivel de información, también se registrarán avisos, advertencias de error, críticos, alertas, emergencias, etc. por encima del nivel de información. Combinar los elementos 1 y 2 escritos anteriormente con puntos decimales es la forma completa de escribir "lo que se debe registrar". Por ejemplo, mail.info representa información general sobre el sistema de entrega de correo electrónico. auth.emerg es un mensaje muy serio sobre la seguridad del sistema. lpr.none significa no registrar información sobre la máquina de listas (generalmente se usa en combinación cuando hay múltiples condiciones de grabación). También hay tres símbolos especiales disponibles para su aplicación:

1. Asterisco (*) El asterisco representa todos los elementos de un determinado elemento. Por ejemplo, mail.* significa que siempre que esté relacionado con el correo, debe registrarse independientemente de su extensión. Y *.info registrará todos los eventos con información de nivel.

2. El signo igual (=) significa que solo se registra el nivel actual y los niveles superiores no se registran. Por ejemplo, en el ejemplo anterior, cuando normalmente se escribe el nivel de información, también se registrarán otros niveles como aviso, error.advertencia, crítico, alerta y emergencia por encima del nivel de información.

Pero si escribe =info, entonces solo existe el nivel de información de grabación.

3. Signo de exclamación (!) El signo de exclamación indica que no se debe registrar el nivel actual ni los niveles superiores.

¿Dónde grabar?

Syslogd general proporciona los siguientes canales para registrar lo que sucede en el sistema:

1.Archivos generales

Este es el método más común. Puede especificar la ruta del archivo y el nombre del archivo, pero debe comenzar con el símbolo de directorio "/" para que el sistema sepa que se trata de un archivo. Por ejemplo, /var/adm/maillog significa grabar en un archivo llamado maillog en /var/adm. Si este archivo no existe antes, el sistema generará uno automáticamente.

2. Terminal u otro dispositivo especificado.

También puede escribir registros del sistema en un terminal o dispositivo. Si el registro del sistema se escribe en el terminal, el usuario que actualmente usa el terminal verá la información del sistema directamente en la pantalla (como /dev/console o /dev/tty1. Puede usar una pantalla para mostrar el mensaje del sistema). Si escribe registros del sistema en una impresora, tendrá una larga tira de papel llena de registros del sistema (por ejemplo, /dev/lp0).

3. Usuarios especificados

También puede enumerar una lista de nombres de usuarios aquí. Si estos usuarios están en línea, estarán en su terminal. como root, tenga cuidado de no agregar otras palabras delante del nombre de usuario al escribir).

4. Host remoto especificado

Esta forma de escritura no registra información del sistema en la máquina local conectada, sino en otros hosts. En algunos casos, el sistema encuentra un error en el disco duro, o si alguien empuja el host y el disco duro se rompe, ¿a dónde va para obtener los registros del sistema para verificar? Siempre que no se rompa la tarjeta de red, debería ser mucho más duradera que el disco duro. Por lo tanto, si cree que es posible que los registros no se guarden en el disco duro en determinadas circunstancias, puede volcar los registros del sistema a otro host. Si desea hacer esto, puede escribir el nombre del host y agregar el signo "@" delante del nombre del host (por ejemplo, @ccunix1.variox.int, pero el host que especifique debe tener syslogd).

Entre los métodos de grabación anteriores, no existe el correo electrónico. Debido a que los correos electrónicos no se pueden leer hasta que el destinatario reciba el correo, algunas situaciones pueden ser muy urgentes y no pueden esperar a que usted recoja el correo y lo lea (la página del manual de BSD dice "cuando recibió el correo, ya es demasiado tarde". .." :-PAG). Lo anterior es cómo escribir los distintos niveles de grabación y métodos de grabación de syslog. Los lectores pueden grabar lo que necesitan según sus propias necesidades. Sin embargo, estos registros se siguen acumulando, a menos que los elimine usted mismo, estos archivos serán cada vez más grandes. Algunas personas pueden escribir en syslogd.conf: *.*/var/log/everything

Si este es el caso, por supuesto, usted registrará todas las situaciones. Pero si algo sale mal con el sistema, es posible que tengas que averiguar dónde está el problema entre decenas o incluso cientos de MB de texto, lo que puede no ayudarte en absoluto. Por lo tanto, los dos puntos siguientes pueden ayudarle a encontrar rápidamente contenido importante de los registros:

1. Revise los registros con regularidad

Desarrolle un informe semanal (o más corto, si tiene tiempo) del. hábito de ver el archivo de registro una vez. Si necesita hacer una copia de seguridad de los archivos de registro antiguos, puede utilizar cploglog.1, cploglog.2... o cploglog.971013, cploglog.980101... etc. para guardar los archivos de registro caducados según el número de serie o la fecha. También es más fácil durante las inspecciones.

2. Sólo registra cosas útiles.

Nunca registres *.* como en el ejemplo anterior. Luego colóquelo en un archivo. Tal resultado hará que el archivo sea demasiado grande y no se pueda encontrar inmediatamente al buscar información. Cuando alguien registra el tráfico de la red, incluso registra quién hace ping a su host.

A menos que el sistema se haya visto gravemente amenazado y a alguien simplemente le guste intentar ingresar a su sistema, de lo contrario no es necesario registrar cosas tan triviales. Puede mejorar parte de la eficiencia del sistema y reducir el uso del disco duro (y, por supuesto, ahorrarle tiempo).

Seguimiento de ubicación geográfica

¿Cómo saber la ubicación geográfica del intruso? Es posible que no pueda saberlo con solo mirar la dirección IP, pero si la mira con frecuencia, encontrará patrones. En un entorno de red fija, el intruso debe tener una relación estrecha con el proveedor de la red. Porque suponiendo que sea una red local, la distancia definitivamente es inferior a unos pocos kilómetros. Incluso si se establece el acceso telefónico, pocas personas gastarán grandes sumas de dinero en servidores de acceso telefónico en otros condados, ciudades o incluso en el extranjero. Por lo tanto, siempre que se detecte la unidad conectada, el intruso no debe estar lejos de la unidad conectada.

Las redes de acceso telefónico son más problemáticas. Muchos ISP han fabricado muchas tarjetas de red para atraer clientes. Siempre que el usuario compre una cantidad fija de horas, no es necesario realizar una solicitud adicional al ISP y puede conectarse a Internet por sí mismo de acuerdo con las instrucciones de la tarjeta. Esto ciertamente atrae clientes, pero el ISP no tiene forma de saber quién está usando su red. En otras palabras, aunque el uso de una tarjeta de red para proporcionar servicios de acceso telefónico brinda una comodidad considerable a los usuarios de acceso telefónico, es el enemigo de la seguridad del sistema y una pesadilla para los administradores de red. Si la persona que te invadió usa una tarjeta de red para acceder a Internet, entonces... ¿deberías verificar desde la ubicación de acceso telefónico? Los intrusos no tienen que usar el teléfono de su casa para acceder a Internet. Independientemente de si fue robado, robado o robado, la fuente de la llamada definitivamente no era el teléfono del intruso.

Identificador de llamadas (Caller ID)

¿Tienes RDSI en casa? Si ha utilizado la función de identificación de llamadas de ISDN, le resultará muy conveniente. El número de la otra parte se le mostrará inmediatamente. Cuando vi a mi novia llamar, inmediatamente contesté la llamada; cuando un reportero de una revista me llamó para instarme a escribir un manuscrito, encendí el contestador y fingí que no estaba en casa... :-P. Pero el identificador de llamadas a veces deja de ser válido. Existe la siguiente prueba para ver qué números puede mostrar CallerID (el modelo probado es Zyxel y el terminal usa Hyper Terminal de Windows NT): El requisito previo para mostrar el número de la persona que llama es que la llamada debe realizarse a través de un conmutador digital de su lado , algunas áreas todavía usan interruptores mecánicos. Si la ruta de conmutación de su llamada pasa a través de estos interruptores mecánicos, el número aún no se mostrará. Otros teléfonos aún no han sido probados.

¿Cómo saber la ubicación del intruso por dirección IP o Nombre de Dominio?

Aunque es posible que no se encuentre el número de teléfono, al menos sabrás su dirección IP. El uso de la dirección IP debe registrarse en InterNIC y el nombre de dominio debe registrarse en el centro de administración de la red local. Hay tres niveles de centros de gestión de red en Internet (la unidad debe ser NET):

1 Nivel internacional

Solo hay un nivel internacional, InterNIC, y NIC de todos. en todo el mundo y NIC intercontinentales son administrados por él. (nic.net/), pero dado que InterNIC está ubicado en los Estados Unidos, el nombre de dominio en los Estados Unidos está directamente bajo la jurisdicción de InterNIC.

Existe una excepción especial: los datos de la red militar de EE. UU. con nombre .mil son administrados por ddn.mil (Red de Defensa Militar de EE. UU.) y no por InterNIC. Después de obtener un nombre de dominio o dirección IP, puede usar whois para verificar. La sintaxis es la siguiente:

whois -h＜whois server＞＜query object>

Por ejemplo, para consultar hp.com en whois.internic.net, necesita. para ingresar: whois -h whois.internic.nethp.com whois

También se puede utilizar la siguiente sintaxis:

whois @

Por ejemplo, para consultar ntu.edu.tw a whois.twnic.net, debe ingresar: whois ntu.edu.tw@whois.twnic.net

Este último está actualmente adjunto a Slackware Linux.

Tres situaciones de denominación de Nombres de Dominio

Aunque sea el mismo Nombre de Dominio, puedes encontrarte con tres situaciones diferentes de denominación. En muchos países, *.edu.* es administrado por unidades distintas al NIC (como el Ministerio de Educación), y los atributos no son necesariamente de tres letras, o incluso no tienen atributos. Los lectores deben prestar más atención al juzgar la naturaleza de la unidad para evitar perder información.

1. Código de país estándar + código de atributo de tres dígitos (o sin código de país, solo código de atributo)

Comúnmente utilizado en Europa, países americanos y algunos países del sudeste asiático. Por ejemplo, *.edu.tw y *.com.tw son comunes en Taiwán, y *.com y *.edu son comunes en los Estados Unidos.

2. Código nacional estándar + código de atributo de dos códigos

Tomando Japón como ejemplo, el atributo de empresa es co y el atributo de asociación es o, que es ligeramente diferente del com. y organización definida por el código de tres. Por ejemplo, la página de inicio de Bandai Japón es www.bandai.co.jp. Si los lectores desean utilizar el nombre de la empresa para reconstruir el nombre completo del host, deben tener en cuenta que Japón es una región con códigos de atributos de sólo dos dígitos. Si adivina que es www.bandai.com.jp, se producirá un error (Nota: en el paradigma de la comunicación internacional, ya sea comunicación por radio, llamadas telefónicas transoceánicas internacionales o incluso Internet, Taiwán y China continental se dividen en dos). diferentes países Aquí, China La distinción entre China continental y Taiwán no tiene otro significado excepto resaltar esta característica. No especule usted mismo sobre otros significados.

3. Solo el código de país estándar, sin ningún código de atributo.

Por ejemplo, los hosts en Australia solo tienen el nombre de host *.au, sin ningún otro com, co o cualquier código de atributo de unidad seguido directamente del nombre de la unidad.

Verifique la información de la unidad conectada desde el nombre de dominio

En Internet, es habitual utilizar el servicio whois para verificar la información de registro de la unidad conectada. Se utiliza para verificar el número de teléfono de alguien u otra información (un poco como Finger o los populares servicios de búsqueda de personas ahora, como Whowhere, Bigfoot, etc., vaya a www.whowhere.com para averiguarlo), pero en términos de. NIC, se utiliza para conocer el número de teléfono y la dirección de la unidad conectada, persona de contacto técnico, etc. La información de la unidad que cumple con la autoridad de administración de la NIC se almacenará en el host whois de la unidad. La convención es whois+nombre de NIC+net. Por ejemplo, el servidor whois del Centro de administración de redes de Asia y el Pacífico es whois.apnic.net, el servidor whois del Centro de redes de Taiwán es whois.twnic.net y el servidor whois del Centro de redes de Taiwán es whois.cnnic. neto. Después de conocer el nombre de dominio de un determinado host, puede seguir la siguiente secuencia para averiguar la dirección telefónica y otra información de la unidad conectada.

El primer paso es comprobar si existe un código de país.

Si no hay código de país, pregunte a whois.internic.net; si hay código de país, pregunte a whois.country codenic.net (ex.whois.twnic.net).

Además, si quieres comprobar los datos de contacto de las unidades militares de EE. UU. (si un día encuentras a alguien usando la red de la Marina de EE. UU. para invadir tu computadora), debes consultar con nic.ddn.mil. Se puede encontrar información. Por ejemplo, para averiguar la información del ejército de los EE. UU.: Sin embargo, el FBI y otras agencias de investigación son unidades gubernamentales, no unidades militares. Al verificar, debe prestar atención a: Busque la información por nombre de dominio si puede encontrarla. el FQDN de una determinada dirección IP desde nslookup, puede contactar directamente. La NIC local detectó la información de la red del intruso:

1. Ejemplo de intrusión desde Estados Unidos:

Intrusión. de xxx.aol.com descubrió que el nombre del host no tenía un código de país, así que consulte directamente con InterNIC. Desde aquí podemos encontrar al técnico responsable de America Online, así como el número de teléfono, fax y otros datos. Prepare su archivo de registro del sistema y envíe un fax para presentar una queja.

2. Ejemplo de intrusión desde Taiwán:

Intrusión por HopeNet (cded1.hope.com.tw) Dado que la base de datos whois actual de TWNIC falta por algún motivo, cámbiela por dbms .seed.net.tw descubrió el nombre chino de Hope.com.tw y luego llamó al 104 para pedir el número de teléfono de la empresa. Ahora, si consulta directamente whois.twnic.net, se verá así:

Sólo el método de consulta de dirección IP

Si un día encuentra a alguien invadiendo 168.95.109.222, asumiendo no sabes esto ¿En qué red está? Si la dirección IP no tiene un nombre de dominio, primero debe clasificar la dirección IP y luego consultar InterNIC: (Las direcciones a continuación como ejemplos son todas ficticias y cualquier similitud es puramente coincidente).

1. Ejemplo de intrusión desde 15.4.75.2:

Esta dirección IP comienza con 15, que es una red Clase A, entonces consulta 15.0 a InterNIC: se encuentra que esta dirección IP es propiedad de la empresa HP

2. Ejemplo de intrusión desde 140.111.32.53:

Esta dirección IP es Clase B y debe consultarse dos veces. Primero, verifique 140.111.0 con InterNIC: resulta que es propiedad del Ministerio de Educación de Taiwán. Luego consulte whois.twnic.net para 140.111.32.0:

3 Ejemplo de intrusión desde 203.66.35.1

Este es un ClassCIP, por lo que se debe consultar al menos dos veces, generalmente. tres veces. El orden es Internacional->Intercontinental->País. Primero revisa 203.0: salen muchos, ¿qué debo hacer? En algunos casos, tendrás que volver a preguntarle a ClassB. Dado que InterNIC entrega parte de ClassC a la agencia reguladora intercontinental para su distribución, parte de la información de ClassC estará en la agencia reguladora intercontinental. En este momento, primero averigüe a qué agencia reguladora intercontinental pertenece InterNIC (use ClassB para preguntar). Me preguntaron que 203.66 es la red intercontinental en la región Asia-Pacífico, así que pregunté a whois.apnic.net por 203.66.35.0: Después de verificar tres veces, finalmente encontré 203.66.35.0, que es:

Se encontró 203.66 entre un montón de información .35.1, esta dirección IP es propiedad de Forwardness Technology Co. Ltd. y la dirección del teléfono también se adjunta arriba

Del método de búsqueda anterior, Connector Network. se puede encontrar mediante cualquier nombre de host o dirección IP. Si descubre que el host de la unidad de red ha atacado su red, proporcione la información al administrador del sistema de la otra parte (es posible que la otra parte no la acepte). El siguiente es el archivo de hosts de Windows95: Cuando no tiene DNS, puede usarlo para asignar el nombre de dominio＜->dirección IP. El método de escritura es el mismo que el de UNIX.

Este archivo de hosts de Microsoft es para Chicago. Este es el nombre del código de desarrollo de Windows95. (Parece que Microsoft tenía prisa cuando lanzó Windows 95 y se olvidó de corregir estas pequeñas cosas. Sin embargo, los lectores deben tener en cuenta que el nombre del archivo de hosts original es hosts.sam. Debe cambiar el nombre del archivo a hosts antes). puede usarlo.

Nota: Casi todas las máquinas que utilizan el protocolo TCP/IP tendrán hosts, red y otros archivos. Esta es una práctica común para todos los sistemas TCP/IP (pero sólo el software de Microsoft tiene lmhosts para cooperar con el propio sistema de interpretación de nombres de dominio wins de Microsoft). Si el lector se ha dado cuenta, podrá descubrir que el servidor Novell Netware también tiene un directorio etc, además de hosts y otros archivos.

Te deseo mucha suerte.......