------------------=[*] Básico Sobre Logs [*]=---------------- Autor Haze Email haze@motdlabs.org Data: 07 de janeiro de 2004 OBS: Este documento ainda não esta completo. 1 - Um pequeno esclarecimento sobre logs. 1.1 - Falso positivo 1.2 - Descrição de um log 2 - Logs no sistema Linux 2.1 - Logs no servidor FTP WU 2.2 - Logs no Apache - Linux 2.3 - Tipos de Logs no Linux 3 - Logs no sistema Windows 3.1 - Logs no Apache - Windows 3.2 - Os Principais arquivos de log no NT 1 - Um pequeno esclarecimento sobre logs. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Os logs são registros de atividades gerados por sistemas de computador.No caso de logs relativos a incidentes de segurança, eles normalmente são gerados por firewalls ou por IDS (sistemas de detecção de intrusão).Os logs gerados por um Firewall por exemplo a depender de como esse firewall foi configurado,caso alguem venha acessar um computador na rede de forma estranha de maneira que as regras setadas nao permitam, ele barra o acesso criando um log , isto pode ser considerado uma tentativa de ataque mas também pode ser um falso positivo. 1.1 - Falso positivo. ~~~~~~~~~~~~~~~~~~~~~ Um falso positivo é quando um IDS ou firewall faz um alerta de uma ataque que não esta existindo. Por exemplo os usuarios que usam firewalls pessoais como , Personal Firewall da Syagate ou o Zone Alarm,esses usuarios ao se conectarem numa rede de IRC que nao permita uso de softwares proxies, os servidores enviam para a máquina do usuario algumas conexões que checam pela existência destes programas e é quase certo que estas conexões serão apontadas como um ataque do tipo Port Scaning por esses firewalls.Outro exemplo comum é quando o firewall nao esta configurado corretamente indicando como ataque até mesmo respostas a solicitações comuns feita por usuarios, como por exemplo o ping. 1.2 - Descrição de um log ~~~~~~~~~~~~~~~~~~~~~~~~~ A maioria dos logs tem a seguintes caracteriscas: IP de origem da atividade ; Data e hora que ocorreu a atividade; As portas envolvidas ; O timezone do horário do log; Protocolo utilizado (TCP, UDP, ICMP, etc); Os dados e solicitações que foram enviados. 2 - Logs no sistema Linux ~~~~~~~~~~~~~~~~~~~~~~~~~ O syslogd é o sistema basico de log que esta em todas distribuições do Linux , por default ele executa as seguintes atividades de resgistro no sistema linux como informações de tudo que acontece no sistema com o kernel, com os daemons e utilitários do sistema.O syslog implementa um mecanismo onde cada mensagem de log está associada a uma facilidade e a uma prioridade. A primeira especifica o programa ou aplicação que gera tal mensagem, e a proxima indica a prioridade com a qual a mesma deve ser executada. A configuração do syslogd é gravados num simples arquivo de texto chamado syslog.conf onde se pode manipular e modificar. o arquivo padrão de configuração do syslogd é o /etc/syslog.conf O diretório padrão do logs no Linux é /var/log Dando uma olhadinha nesse diretorio podemos observar: /var/log/wtmp - Nele podemos encontrar algumas informações valiosas para a administração do sistema. O comando do Linux que podemos usar para ver o conteudo dele é o last ja que as informações contida nele estão em formato binario. last: Veremos algumas informações rápidas sobre ele. last -f arquivo: arquivo por padrão é o /var/log/wtmp, caso você use um sistema de backup, pode olhar ex: /var/log/wtmp.old, ou outro arquivo qualquer. last -t tty: tty é o dispositivo de terminal que se quer ver os acessos. last -h hostname: com essa opção, podemos ver os host que fez conecção com o seu sistema. last usuário: este mostra o acesso de um determinado usuário. /var/run/utmp- Neste arquivo se encontra os usuários que estão conectados ao sistema.Os dados contidos nestes arquivos são armazenados em forma binária. Portanto, deverão ser lidos usando comandos específicos como: who, whodo, write, finger e ps, os quais retornam as informações contidas neste arquivo. Utilização do comando "who" [usuario@localhost]$ who usuário tty1 Sep 10 08:50 1º temos o usuário em seguida temos número do tty em uso pelo usuário,o mês, data e hora que o usuário se logou no sistema. Para ver as outras opções do comando, who --help Resumindo o WTMP e o UTMP registram o tipo do inicio de uma sessão login pid, tty, tty device, usuario, endereço, status de saida, seção ID, tempo e IP no login e no logout. O lastlog é o arquivo binario que registra o horário da última tentativa de acesso o sistema seja com ou sem sucesso, muda a cada login e é reportado toda vez que o usuário entrar no sistema, ou o comando finger for executado No sistema linux são gerados muitos outros tipos de logs abaixo alguns deles: /var/log/messages - Registra todas as operações de mensagem enviada ao console, tendo sido ela gerada pelo kernel do sistema ou por algum prgrama do mesmo. Logs gerados por alguns serviços de rede. /var/log/mail.log - registra os envios e recebimentos de e-mails no sistema arquivo geralmente usado pelo syslog para armazenar mensagens geradas pelo Sendmail. /var/log/xferlog - registra todas as operações logon/logoff realizado pelo deamon de FTP /var/log/bindlog - registra os logs do servidor de nomes BIND /var/log/secure - registra todas as operações realizadas por tcp-wrappers bash_history - armazena os últimos 1.000 comandos digitados pelo usuário.No caso root, este arquivo fica em seu diretório de trabalho /root 2.1 - Logs no servidor FTP WU ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ O servidor WU (Washington University)é um dos mais usados em plataforma Linux ,existiem varios bugs em versões antigas desse servidor e uma infinidade de exploits para explora-las. Os logs gerados da conexão com esse servidor na maioria das vezes ficam gravados no diretório padrão. o servidor WU-FTP permite o registro de informações bastante úteis.Que destacam- se por auxiliar na tarefa de detecção de intrusão,com os seguintes tipos de logs: .logs dos arquivos transferidos (informações armazenadas no arquivo xferlog); .logs dos comandos FTP executados durante uma sessão; .logs dos usuários que estiveram ou estão acessando o servidor FTP. 2.2 - Logs no Apache - Linux ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Como o Apache é bem flexível e totalmente configurável, o administrador poderá configurar para gravar os logs das ocorrências e alterações que vierem a acontecer em outro lugar no servidor. O local padrão no Linux é /usr/local/apache/logs Dentro desse diretório existem alguns tipos de logs , sendo que os principais são: access_log e error_log. No access_log, é possível ver os hosts e os usuários que acessaram o servidor, os arquivos requisitados, os horários que as requisições foram feitas e o estado de tais requisições. O arquivo error_log contém informação respeito dos erros encontrados como o 404 e o estado do servidor na inicialização e finalização. Existem também outros tipos de arquivos logs, como sssl_request_log e sssl_engine_log. 3 - Logs no sistema Windows [continua] ~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3.1 - Logs no Apache - Windows ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Nos servidores Windows que possuem o Apache como web server, os logs se encontram na maioria das vezes no diretório: C:\Arquivos de Programas\Apache Group\Apache\logs 3.2 - Os Principais arquivos de log no NT ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ AppEvent.Evt Este registra as principais operações e ventos de aplicativos do sistema Esta em \systemroot\system32\config SecEvent.Evt Log dos principais eventos de segurança systemroot\system32\config SysEvent.Evt Log das principais operações e eventos do sistema C:\WINNT\System\LogFiles\W3SVC! O nome do arquivo de log é baseado na data atual , no formato aammdd.log. Um novo arquivo de log é gerado todos os dias. Conclusão Não é possivel apresentar um estudo detalhado sobre os logs em apenas um texto , ainda ficou muita coisa pra ser dita sobre logs mas com tempo irei acrescentendo outros topicos a esse txt (ou não).