黑客初级技术概述

核心提示： 攻击的善后工作1.日志系统简介如果攻击者完成攻击后就立刻离开系统而不做任何善后工作，那么他的行踪将很快被系统管理员发现，黑客初级技术概述(6)，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来，wtmp记录用户登录和退出事件，Syslog最重要的日志文件，所以，为

攻击的善后工作

1.日志系统简介

如果攻击者完成攻击后就立刻离开系统而不做任何善后工作，那么他的行踪将很快被系统管理员发现，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法，首先要了解常见的操作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置，根据操作系统的不同略有变化

／usr／adm——早期版本的Unix。

／Var／adm新一点的版本使用这个位置。

／Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。

／etc，大多数Unix版本把Utmp放在此处，一些Unix版本也把Wtmp放在这里，这也是Syslog．conf的位置。

下面的文件可能会根据你所在的目录不同而不同：

acct或pacct－一记录每个用户使用的命令记录。

accesslog主要用来服务器运行了NCSA HTTP服务器，这个记录文件会记录有什么站点连接过你的服务器。

aculo保存拨出去的Modems记录。

lastlog记录了最近的Login记录和每个用户的最初目的地，有时是最后不成功Login的记录。

loginlog一记录一些不正常的L0gin记录。

messages——记录输出到系统控制台的记录，另外的信息由Syslog来生成

security记录一些使用 UUCP系统企图进入限制范围的事例。

sulog记录使用su命令的记录。

utmp记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。

Utmpx，utmp的扩展。

wtmp记录用户登录和退出事件。

Syslog最重要的日志文件，使用syslogd守护程序来获得。