1.  导言
针对linux服务器进犯首要包含溢出提权进犯、端口扫描、后门程序植入等进犯手法，而针对web运用程序的进犯则掩盖愈加广泛，包含SQL注入、XSS、指令履行、文件包含、木马上传等缝隙。本文首要考虑怎么经过日志剖析技能完结对进犯的检测和防备技能。
2.  常见进犯手法
常见的操作体系进犯和web进犯如下：

 
图1：进犯手法分类
操作体系进犯办法和web的进犯防备许多，本文仅考虑上传进犯手法的检测和防备技能。
环境如下：
操作体系：CentOSrelease 6.4 (Final)
数据库体系：mysql  Ver 14.14 Distrib 5.1.66
中间件环境：Apache/2.2.15(Unix)
Web运用程序环境:DVWA1.0.8
3.  日志装备办法
3.1 Linux操作体系日志
日志是Linux安全结构中的一个重要内容,是供给进犯发作的仅有实在依据。Linux中日志包含以下几类：登录时刻日志子体系、进程计算日志子体系、过错日志子体系等。
登录时刻日志子体系：登录时刻一般会与多个陈旭的履行发作相关，一般状况下，将对应的记载写到/var/log/wtmp和/var/run/utmp中。为了运用体系管理员能够有效地盯梢谁在适宜登录过体系，一旦触发login等程序，就会对wtmp和utmp文件进行相应的更新。
进程计算日志子体系：首要由体系内核完结完结记载操作。当一个进程停止时，体系就主动记载该进程，往进程计算文件或中写一个纪录。进程计算的意图是为体系中的根本服务供给指令运用计算。.
过错日志子体系：其首要由体系进曾syslogd（以及替换版别rsyslogd）完结操作有各个运用体系（FTP、Samba等）的看护进程、体系内核来主动运用syslog向/var/log/secure中添加纪录，用来记载体系过错日志。
审计子体系：审计子体系供给了一种记载体系安全信息的办法，为体系管理员在用户违背体系安全规律时供给及时的正告信息。在用户空间，审计体系由auditd、ausearch等运用程序组成。审计后台auditd运用程序经过netlink机制从内核中接纳审计音讯，然后，经过一个作业线程将审计音讯写入到审计日志文件中，其间，还有一部分音讯经过音讯分发后台进程dispatcher调用syslog写入日志体系。
表1：常见日志总结
日志称号
日志内容
/var/log/boot.log
该文件记载了体系在引导进程中发作的事情，便是Linux体系开机自检进程显现的信息。
/var/log/cron
该日志文件记载crontab看护进程crond所派生的子进程的动作，前面加上用户、登录时刻和PID，以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见状况。REPLACE（替换）动作记载用户对它的 cron文件的更新，该文件列出了要周期性履行的使命调度。 RELOAD动作在REPLACE动作后不久发作，这意味着cron注意到一个用户的cron文件被更新而cron需求把它从头装入内存。该文件或许会查 到一些失常的状况。
/var/log/maillog
该日志文件记载了每一个发送到体系或从体系宣布的电子邮件的活动。它能够用来检查用户运用哪个体系发送东西或把数据发送到哪个体系。
/var/log/messages
该日志文件是许多进程日志文件的汇总，从该文件能够看出任何侵略妄图或成功的侵略。
/var/log/syslog
默许RedHat Linux不生成该日志文件，但能够装备/etc/syslog.conf让体系生成该日志文件。
/var/log/lastlog
该日志文件记载最近成功登录的事情和最终一次不成功的登录事情，由login生成。 在每次用户登录时被查询，该文件是二进制文件，需求运用 lastlog指令检查，依据UID排序显现登录名、端口号和前次登录时刻。假如某用户从来没有登录过，就显现为”**Never logged in**”。体系账户比如bin、daemon、adm、uucp、mail等决不应该登录，假如发现这些账户现已登录，就阐明体系或许现已被侵略了。
/var/log/wtmp
该日志文件永久记载每个用户登录、刊出及体系的发动、停机的事情。因而跟着体系正常 运转时刻的添加，该文件的巨细也会越来越大，添加的速度取决于体系用户登录的次数。该日志文件能够用来检查用户的登录记载，last指令就经过拜访这个文件取得这些信息，并以反序从后向前显现用户的登录记载，last也能依据用户、终端 tty或时刻显现相应的记载。
/var/run/utmp
该日志文件记载有关其时登录的每个用户的信息。因而这个文件会跟着用户登录和刊出系 统而不断改变，它只保存其时联机的用户记载，不会为用户保存永久的记载。体系中需求查询其时用户状况的程序，如 who、w、users、finger等就需求拜访这个文件。该日志文件并不能包含一切准确的信息，由于某些突发过错会停止用户登录会话，而体系没有及时 更新 utmp记载，因而该日志文件的记载不是百分之百值得信任的。
以上提及的3个文件（/var/log/wtmp、/var/run/utmp、 /var/log/lastlog）是日志子体系的要害文件，都记载了用户登录的状况。这些文件的一切记载都包含了时刻戳。这些文件是按二进制保存的
/var/log/secure
该日志文件记载与安全相关的信息。
/var/log/xferlog
该日志文件记载FTP会话，能够显现出用户向FTP服务器

[1] [2] [3] [4] [5]  黑客接单网