超级会员免费看
网络攻击后的规避与隐藏技术
1. 系统日志文件的篡改与删除
Syslog日志文件条目可能在目标Syslog服务器上遭到破坏,也可能通过操纵源服务器上的日志记录工具被篡改。在理论上,未加密的Syslog数据在通过中间网络传输时,有可能被删除或篡改,攻击者还可能向Syslog数据流中注入多余或伪造的日志文件消息。
攻击者可以使用“logger”等实用工具,或者“openlog”“syslog”和“closelog”等库例程,将伪造的Syslog消息“注入”到日志文件中。例如,“logger”实用工具提供了一个shell接口,用于向syslogd提交Syslog消息,并支持捕获进程ID和Syslog优先级的选项,还能指定目标日志文件。管理员和攻击者都可以从命令行或通过脚本调用“logger”来向Syslog提交数据。由于Syslog数据默认不进行身份验证和加密,这就为攻击者向系统日志文件提交伪造的Syslog消息提供了可乘之机。
日志文件的删除与UNIX日志记录章节中的情况类似。此外,攻击者还可以通过终止或禁用Syslog守护进程(syslogd)来禁用日志文件。这可以通过向Syslog进程直接发送信号(如果攻击者具有本地系统访问权限),或者利用拒绝服务攻击远程禁用Syslog服务来实现。历史上,Syslog服务容易受到缓冲区溢出、数据包洪泛和磁盘空间耗尽等问题的影响。
攻击者还可以通过操纵源日志记录工具来控制Syslog记录的数据类型。这可以通过影响操作系统或应用程序组件,或者直接编辑源主机上的 /etc/syslog.conf 文件来实现,但这种操作可能会被系统管理员察觉。
订阅专栏 解锁全文
扫一扫
1464
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
