如果有人进入 shell 提示符(通过利用外部 shellcode 并在运行漏洞之前控制系统),Ubuntu 是否会将消息记录到/var/log/lastlog、、或其他任何地方?如果会,日志消息是什么样子的?我只知道段错误(如果核心转储) /var/log/wtmp,就像和中的这条消息:/var/log/kern.log/var/log/syslog/var/log/kern.log/var/log/syslog
Jan 10 11:30:02 ubuntu kernel: [10980.811200] bo1[15439]: segfault at 0 ip 001a7210 sp bfbac640 error 4 in ibc-2.11.1.so[134000+153000]
或者情况并非如此,我们就注定失败?
答案1
目前还没有通用的方法来检测 shell 代码攻击,因此也没有针对此类攻击的规范日志条目模式。如果可以的话,这种攻击不会造成危险,因为入侵检测系统可以可靠地检测并阻止此类攻击。