超级会员免费看
网络攻击后的规避技术解析
1. 日志文件的篡改与删除
Syslog日志文件条目可能在目标Syslog服务器上受到损害,也可能通过操纵源服务器上的日志记录设施来实现。未加密的Syslog数据在通过中间网络传输时,理论上有可能被删除或篡改,这可能包括向Syslog数据流中注入多余或伪造的日志文件消息。
攻击者可以使用“logger”等实用工具,或“openlog”“syslog”和“closelog”等库例程,将伪造的Syslog消息“注入”到日志文件中。“logger”实用工具提供了一个shell接口,用于向syslogd提交Syslog消息,并支持捕获进程ID和Syslog优先级以及指定目标日志文件的选项。管理员和攻击者都可以从命令行或通过脚本调用“logger”来向Syslog提交数据。由于Syslog数据默认情况下未经过身份验证和加密,这为攻击者向系统日志文件提交伪造的Syslog消息提供了可乘之机。
日志文件的删除与UNIX日志记录章节中的情况类似。此外,还可以通过终止或禁用Syslog守护进程(syslogd)来禁用日志文件。这可以通过向Syslog进程直接发送信号(如果攻击者具有本地系统访问权限)或利用拒绝服务攻击远程禁用Syslog服务来实现。Syslog服务历来容易受到缓冲区溢出、数据包泛洪和磁盘空间耗尽等问题的影响。
攻击者还可以通过操纵源日志记录设施来控制Syslog记录的数据类型。这可以通过影响操作系统或应用程序组件,或直接编辑源主机上的 /etc/syslog.conf 文件来实现,但这可能会被系统管理员察觉。
订阅专栏 解锁全文
扫一扫
69
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
