舒尔特方格(463.com:25X25记录表)

心路

虽然现在有很多堡垒主机,可以记录SA或者其它部门在服务器上执行的命令,但是依旧有些东西记录不到。比如说1个月之前上传了一个脚本,或者二进制程序,现在执行一下删除了某些文件,过了一个月再想起来去追查,那么就有难度了。即使在服务器部署ossec之类的HIDS系统,由于性能的考虑,也不能在较短时间内做过多的轮询查询文件状态。这里介绍三个简单的办法,各有所长。

      第一个最简单,替换shell。用perl之类的脚本语言写一个shell,替换bash,cshell,设置成用户的默认shell。在这个shell中对三处文件,修改文件等操作做一些记录,以后在追查的时候比较方便。好处是实现简单,风险低。缺点在于容易绕过,而且没法记录二进制程序对文件的操作。

      第二个办法,写驱动hook系统调用,监控文件操作。这个方案的优缺点都很明显,优点是底层,不易绕过。缺点就是风险高,通用性也难以把握,开发难度也大,虽然新的linux kernel提供了kprobe等接口来方便做hook,实现起来总不会有用户态那么自如。而且有可能要升级kernel,为了这个目的升级kernel基本是不可能的。

      第三个办法,就是使用inotify来监控文件变化。inotify是基于事件的监控,无需定时轮询文件状态,也无需做内核模块hook系统调用,简单可靠。比较好的实现是检测到文件变化时,同时记录下当前登陆的用户以及当前用户启动的进程。不过inotify,需要kernel 2.6.13以上支持,RHEL5默认是有的,其它系统不确定。我个人认为,这个是最好的一种实现。

  • day01 2017 9 15日
 

第一组 14:41记录

http://www.bkjia.com/Windowsjc/512993.htmlwww.bkjia.comtruehttp://www.bkjia.com/Windowsjc/512993.htmlTechArticle心路
虽然现在有很多堡垒主机,可以记录SA或者其它部门在服务器上执行的命令,但是依旧有些东西记录不到。比如说1个月之前上传了一个…

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
18 14 17 18 16 19 16 20 19 15 20 17 17 19 15 17.3333333333333

第二组 17:07记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
16 17 16 16 16 17 19 17 17 20 19 16 17 16 15 16.93333333333333

第三组 19:00记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
17 20 19 18 18 17 20 19 21 17 17 18 16 18 14 17.93333333333333

第四组 12:00记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
18 15 17 20 18 19 19 20 16 15 16 21 19 20 17 18
  • day02 2017 9 16日

第一组 13:41记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
18 17 16 14 14 21 18 20 17 17 16 17 19 15 16 17

第二组 13:41记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
16 14 15 17 14 17 16 17 15 17 17 16 17 16 15 15.93333333333333

第三组 12:00 记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 16 18 16 19 15 18 15 14 17 18 17 16 15 18 16.33333333333333
  • day03 2017 9 18日

第一组 09:21 记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
15 15 15 16 19 17 17 16 18 14 16 14 15 16 14 15.8

第二组 12:00记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 13 16 14 17 17 13 14 17 14 17 17 13 17 14 15.13333333333333

第三组 14:52记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 15 15 15 16 14 14 16 15 16 16 15 17 16 17 15.4

第四组 18:00 记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
11 14 14 17 15 16 14 15 17 13 15 16 13 14 17 14.73333333333333

第五组 23:00 记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
13 13 14 12 14 16 13 15 15 15 17 16 16 13 15 14.46666666666667
  • #### day04 2017 9 19

第一组 8:10记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 14 16 15 17 15 14 14 17 12 15 16 16 17 15 15.13333333333333

第二组 12:14记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 14 14 14 12 13 15 12 16 15 13 11 15 15 15 13.86666666666667

第三组 15:08记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
15 14 14 15 12 16 16 13 16 16 14 14 15 15 14 14.6

第四组 18:51记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
13 13 13 13 15 15 13 14 14 14 15 15 13 15 14 13.93333333333333

第五组 23:59记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
12 12 12 13 14 15 14 11 13 15 14 14 14 12 12 13.13333333333333
  • #### day05 9月20日记录

第一组 10:01记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
15 13 14 12 13 13 14 15 14 14 14 12 14 14 14 13.66666666666667

第二组 12:00记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
12 12 11 14 12 12 13 13 12 14 14 14 11 14 14 12.8

第三组 18:10记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
13 14 14 13 14 14 13 14 13 13 15 12 15 14 12 13.53333333333333

第四组 23:00记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
13 12 14 11 13 14 14 12 12 13 13 13 13 14 14 13

第五组 23:10记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
12 13 14 12 12 14 13 14 13 13 14 13 13 14 12 13.06666666666667
  • #### day06

第一组 12:22记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 13 12 13 13 13 12 13 14 14 14 12 13 14 14 13.2

第二组 15:00记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
14 14 10 13 12 14 14 13 13 14 14 12 13 13 13 13.06666666666667

第三组 23:50记录

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 aver
12 13 13 11 14 14 12 14 14 12 13 13 14 13 12 12.93333333333333
  • 463.com,#### day08 15:02

第一组 15:00记录

相关文章