Книга: Linux глазами хакера

12.5.3. Журнал FTP-сервера

12.5.3. Журнал FTP-сервера

Войдя в систему, взломщики нередко закачивают на сервер собственные программы для повышения своих прав или для открытия потайных дверей. Для закачки можно использовать FTP-протокол. Кто подключался к серверу можно узнать из файла /var/log/secure. А вот что закачивали — подскажет /var/log/xferlog. О журнале FTP-сервера мы уже немного говорили в разд. 10.3. Теперь познакомимся с ним поближе.

Журнал FTP-сервера текстовый, как и у почтового сервера, но мы его рассматриваем отдельно. Из моей практики, если вы используете сервис FTP, то именно он чаще всего приводит к проблемам. Нет, программа достаточно хороша, но злоумышленник, как правило, стремится получить доступ к учетной записи с правами на FTP, чтобы иметь возможность размещать свой боевой софт на сервере. С помощью анализа журнала вы быстро узнаете, кто и что закачивал.

Посмотрим на пример содержимого файла /var/log/xferlog:

Sun Jan 16 13:21:28 2005 1 192.168.77.10 46668 /home/flenov/sendmail.cf b _ o r flenov ftp 0 * c

Из данной строки видно, что 16 января в 13:21 пользователь с адреса 192.168.77.10 скачал файл /home/flenov/sendmail.cf.

Протокол FTP является наиболее опасным, потому что через него злоумышленник может скачать секретные данные (например, файл с паролями) или положить на сервер свою программу (в частности, rootkit или трояна). Необходимо научиться понимать каждую запись, чтобы знать, что происходит с файлами в системе. Давайте рассмотрим каждый параметр в журнале:

? полная дата, которая состоит из дня недели, месяца, числа, времени и года;

? продолжительность сеанса или время, потраченное на скачивание/закачивание файла;

? имя или IP-адрес удаленного хоста;

? размер файла в байтах;

? полный путь к файлу, который был скачен или закачен;

? тип передачи — буква a (символьная) или b (бинарная);

? символ, определяющий специальные действия над файлом:

 • C — сжат;

 • U — разархивирован;

 • T — обработан программой tar;

 • _ — не было никаких действий;

? символ, определяющий направление передачи: о (скачивание с сервера) или i (закачивание на сервер);

? символ, определяющий тип пользователя: a (анонимный), g (гость) или r (действительный);

? локальное имя пользователя. Для анонимных пользователей здесь можно увидеть номер ID;

? имя сервиса, обычно это слово ftp;

? способ аутентификации. Здесь можно увидеть 0, если определение подлинности отсутствовало, или 1 для идентификации по RFC 931;

? идентификатор пользователя. Если он не определен, то можно увидеть звездочку;

? символ, определяющий состояние передачи: с (прошла успешно) или i (была прервана).

Если вы никогда не работали с журналом FTP, то советую сейчас остановиться на минуту и внимательно изучить строку примера, показанную выше, и записи из вашего журнала. Вы всегда должны подходить к проблеме уже подготовленными, а не изучать ее после появления, иначе вы проиграете.

Оглавление книги