Linux глазами хакера
вернуться

Флёнов Михаил Евгеньевич
Шрифт:

□ полная дата, которая состоит из дня недели, месяца, числа, времени и года;

□ продолжительность сеанса или время, потраченное на скачивание/закачивание файла;

□ имя или IP-адрес удаленного хоста;

□ размер файла в байтах;

□ полный путь к файлу, который был скачен или закачен;

□ тип передачи — буква a (символьная) или b (бинарная);

□ символ, определяющий специальные действия над файлом:

 • 

C
сжат;

 • 

U
— разархивирован;

 • 

T
— обработан программой tar;

 • 

_
— не было никаких действий;

□ символ, определяющий направление передачи:

о
(скачивание с сервера) или
i
(закачивание на сервер);

□ символ, определяющий тип пользователя:

a
(анонимный),
g
(гость) или
r
(действительный);

□ локальное имя пользователя. Для анонимных пользователей здесь можно увидеть номер ID;

□ имя сервиса, обычно это слово

ftp
;

□ способ аутентификации. Здесь можно увидеть 0, если определение подлинности отсутствовало, или 1 для идентификации по RFC 931;

□ идентификатор пользователя. Если он не определен, то можно увидеть звездочку;

□ символ, определяющий состояние передачи:

с
(прошла успешно) или
i
(была прервана).

Если вы никогда не работали с журналом FTP, то советую сейчас остановиться на минуту и внимательно изучить строку примера, показанную выше, и записи из вашего журнала. Вы всегда должны подходить к проблеме уже подготовленными, а не изучать ее после появления, иначе вы проиграете.

12.5.4. Журнал прокси-сервера squid

Основным журналом прокси-сервера squid является /var/log/squid/access.log. Это текстовый файл, в котором каждая строка состоит из следующих полей:

□ время начала соединения или события;

□ продолжительность сессии;

□ IP-адрес клиента;

□ результат обработки запроса. Здесь может быть одно из следующих значений:

 • 

TCP_HIT
— в кэше найдена нужная копия;

 • 

TCP_NEGATIVE_HIT
— объект кэширован негативно, получена ошибка при его запросе;

 • 

TCP_MISS
— объект не найден в кэше;

 • 

TCP_DENIED
— отказ в обслуживании запроса;

 • 

TCP_EXPIRED
— объект найден, но устарел;

 • 

TCP_CLIENT_REFRESH
— запрошено принудительное обновление;

 • 

TCP_REFRESH_HIT
— при попытке обновления сервер сообщил, что объект не изменился;

 • 

TCP_REFRESH_MISS
— после попытки обновления сервер вернул новую версию объекта;

 • 

TCP_REFRESH_HIT
— после обновления выяснилось, что объект в кэше свежий;

 • 

TCP_REF_FAIL_HIT
— объект из кэша устарел, а новую версию получить не удалось;

 • 

TCP_SWAPFAIL
объект должен находиться в кэше, но он не найден;

□ количество байт, полученных клиентом;

□ метод запроса —

GET
,
POST
,
HEAD
или
ICP_QUERY
;

□ URL-адрес запрашиваемого объекта;

□ поле ident (знак "-", если недоступно);

□ результат запроса к другим кэшам:

 • 

PARENT_HIT
— объект найден;

 • 

PARENT_UDP_HIT_OBJECT
— объект найден и возвращен в UDP-запросе;

 • 

PARENT
— объект запрошен с оригинального сервера;

□ тип содержимого MIME.

Когда в гл. 9 мы говорили о squid-прокси-сервере, то упоминали и о других журналах, например, cache.log и useragent.log.

12.5.5. Журнал Web-сервера

Сервер Apache хранит свои журналы в файлах access.log и error.log, которые расположены в директории /var/log/httpd. Эти журналы позволяют узнать об активности и доступе пользователей.

С другой стороны, журналы текстовые и легко читаемые. Любой хакер может просмотреть их. А т.к. в журнале сохраняются пароли, с которыми пользователи получили доступ к серверу, то хакер легко их может вычислить.

Отказаться совсем от ведения журнала нельзя. Но необходимо сделать все возможное, чтобы он не был доступен злоумышленнику. Как минимум, я всегда изменяю расположение журнала по умолчанию. По моим наблюдениям редко кто смотрит файл httpd.conf, а лезут сразу в каталоги по умолчанию. Если журналов нет, то хакер думает, что они отключены.