Книга: Linux глазами хакера

Листинг 12.1. Результат выполнения команды lastlog

Листинг 12.1. Результат выполнения команды lastlog

Username Port     From          Latest
root     ftpd2022 192.168.77.10 Mon Feb 21 12:05:06 +0300 2005
bin                             **Never logged in**
daemon                          **Never logged in**
adm                             **Never logged in**
lp                              **Never logged in**
sync                            **Never logged in**
shutdown                        **Never logged in**
halt                            **Never logged in**
mail                            **Never logged in**
news                            **Never logged in**
uucp                            **Never logged in**
operator                        **Never logged in**
games                           **Never logged in**
gopher                          **Never logged in**
ftp                             **Never logged in**
nobody                          **Never logged in**
vcsa                            **Never logged in**
mailnull                        **Never logged in**
rpm                             **Never logged in**
xfs                             **Never logged in**
apache                          **Never logged in**
ntp                             **Never logged in**
rpc                             **Never logged in**
gdm                             **Never logged in**
rpcuser                         **Never logged in**
nscd                            **Never logged in**
ident                           **Never logged in**
radvd                           **Never logged in**
squid                           **Never logged in**
mysql                           **Never logged in**
flenov   ftpd2022 192.168.77.10 Mon Feb 21 12:05:06 +0300 2005
named                           **Never logged in**
robert   tty1                   Mon Feb 21 12:10:47 +0300 2005

Список состоит из четырех колонок:

? имя пользователя из файла /etc/passwd;

? порт или терминал, на который происходило подключение;

? адрес компьютера, если вход был по сети;

? время входа.

С помощью lastlog удобно контролировать системные записи. У них дата последнего входа должна быть **Never logged in**, потому что под ними нельзя войти в систему (в качестве командной оболочки установлены /bin/false, /dev/null, /sbin/nologin и др.). Если вы заметили, что кто-либо проник в систему через одну из этих учетных записей, то это значит, что хакер использует ее, изменив настройки.

Простая замена командной оболочки в файле /etc/passwd может открыть хакеру потайную дверь, и администратор не заметит этой трансформации. Но после выполнения команды lastlog все неявное становится явным.

Обращайте внимание на тип подключения и адрес. Если что-то вызывает подозрение, то можно выявить атаку на этапе ее созревания.

Оглавление книги

Оглавление статьи/книги
Похожие страницы

Генерация: 1.098. Запросов К БД/Cache: 3 / 0
поделиться
Вверх Вниз