检查日志信息追踪攻击来源

查看日志是查找攻击源最好的方法，linux下有各种类型的日志，需要重点关注的有如下几种：

l 内核及系统日志：这种日志数据有系统服务syslog统一管理，根据其主配置文件/etc/syslog.conf中的设置决定将内核信息及各种系统程序消息记录到什么位置。

l 用户日志：这种日志数据用于记录linux系统用户登录及退出系统的相关信息，包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

l 程序日志：有些应用程序会选择自己来独立管理一份日志文件（不是交给syslog服务管理），用于记录本程序运行过程中的各种事件信息。

需要在服务器重点检查的日志有如下几个：

l /var/log/messages：公共日志文件，记录linux内核消息及各种应用程序的公共日志消息，包括启动、I/O错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该文件获得相关的事件记录消息。

l /var/log/cron：记录crond计划任务产生的事件消息。

l /var/log/dmesg：包含内核缓冲信息（kernel ring buffer）。在系统启动时，会在屏幕上显示许多与硬件有关的信息。此文件记录的信息是系统上次启动时的信息。而用dmesg命令可查看本次系统启动时与硬件有关的信息，以及内核缓冲信息。

l /var/log/secure：记录用户远程登录、认证过程中的事件信息。

l /var/log/wtmp：记录系统所有登录进入和退出信息。可执行last命令查看。

l /var/log/btmp：记录错误登录进入系统的日志信息。可执行lastb命令查看。

l /var/log/lastlog：记录最近成功登录的事件和最后一次不成功的登录事件。可执行lastlog命令查看。

其中，系统日志/var/log/messages和/var/log/secure一定要仔细检查。这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件记录着用户执行的所有历史命令。