wtmpx日志文件下载

『壹』 unix中last log 怎么归零

last log归零的说明：

1. 从帮助中查看命令man last后，得知last输出的来源，是读取log文件：/var/adm/wtmpx

2. log文件是wtmpx，所以归零log日志，即是清空wtmpx文件，如果有必要，最好将该文件备份到别的地方，再执行 cd /var/adm; cp /dev/null wtmpx
   

『贰』 计算机系统日志的linux

在Unix下，最常用的存放日志文件的目录是：
/usr/adm 早期版本的
Unix /var/adm 较新版本的
Unix /var/log 用于Solaris,Linux,BSD等
/etc Unix system V早期版本
在这些目录下，或其子目录下，你可以找到以下日志文件（也许是其中的一部分）：
lastlog 记录用户最后一次成功登录时间
loginlog 不良的登陆尝试记录
messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息
utmp 记录当前登录的每个用户
utmpx 扩展的utmp
wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp
vold.log 记录使用外部介质出现的错误
xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况
acct记录每个用户使用过的命令
aculog 拨出自动呼叫记录
syslog采用可配置的、统一的系统登记程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是，为了防止入侵者修改、删除messages里的记录信息，可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。
任何程序都可以通过syslog记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录到另一台主机上的事件。
Syslog依据两个重要的文件：/sbin/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog信息被写到/var/adm或/ar/log目录下的信息文件中（*message.）。一个典型的syslog记录包括生成程序的名字和一个文本信息，它还包括一个设备和一个行为级别（但不在日志中出现）。
syslogd & klogd ---------/etc/syslog.conf
/var/log/secure:登录到系统存取资料的记录；FTP、SSH、TELNET...
/var/log/wtmp：记录登录者讯录，二进制文件，须用last来读取内容
/var/log/messages：杂货铺
/var/log/boot.log：记录开机启动讯息，dmesg | more # ps aux | grep syslog
# chkconfig --list | grep syslog
# cat /var/log/secure
/etc/syslog.conf 哪些服务产生的哪些等级讯息记录到哪里
记录到相同地方的多个讯息源用分号间隔
vi /etc/syslog.conf # grep 514 /etc/services
syslog 514/udp
vi /etc/sysconfig/syslog
# 将SYSLOGD_OPTIONS=-m 0
# 改成
SYSLOGD_OPTIONS=-m 0 -r
/etc/init.d/syslog restart
[root@linux ~]# netstat -tlunp
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:514 0.0.0.0:* 24314/syslogd
对应client
# vi /etc/syslog.conf
*.* @192.168.1.100 * /etc/logrotate.conf
* /etc/logrotate.d/
logrotate.conf 才是主要配置文件，而/logrotate.d /这个目录内的所有文件都被读入 /etc/logrotate.conf来执行！
如果在 /etc/logrotate.d/ 目录文件中，没有相应的细节设定则以 /etc/logrotate.conf 设定为缺省值！
vi /etc/logrotate.d/syslog
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler
/var/log/boot.log /var/log/cron {
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
1、用空格作多个档案分隔
2、所有设定在{}中
3、# prerotate：在启动logrotate执行的指令
# postrotate：在做完logrotate后需处理的指令
logrotate [-vf] logfile
参数：
-v ：显示过程
-f ：强制执行
而logrotate的工作加入到 crontab /etc/cron.daily/logrotate；所以系统每天自动查看
只是要注意一下：/var/log/messages 是否有这样的类似内容
Oct 24 15:15:35 localhost syslogd 1.4.1: restart.
四、实例：
要求： 登录档案每月替换一次
若> 10MB ;强制替换，不不考虑一个月的期限；
保存五备份文档；
备份文档不压缩。
步骤1：
root@linux ~]#chattr+a /var/log/admin.log
[root@linux ~]# lsattr /var/log/admin.log
-----a------- /var/log/admin.log
只能新增不能删节除，除非chattr-a /var/log/admin.log
[root@linux ~]# mv /var/log/admin.log /var/log/admin.log.1
mv: cannot move '/var/log/admin.log' to '/var/log/admin.log.1':permission deny
步骤2：
vi /etc/logrotate.d/admin
# This configuration is from VBird 2005/10/24
/var/log/admin.log {
monthly
size=10M
rotate 5
nocompress
sharedscripts
prerotate
/usr/bin/chattr-a /var/log/admin.log
endscript
sharedscripts
postrotate
/usr/bin/killall -HUP syslogd
/usr/bin/chattr+a /var/log/admin.log
endscript
}
步骤3：测试
#logrotate-v /etc/logrotate.conf
.....(前面省略).....
rotating pattern: /var/log/admin.log 10485760 bytes (5 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/admin.log
log does not need rotating
not running shared prerotate script, since no logs will be rotated
............
#logrotate-vf /etc/logrotate.d/admin
reading config file /etc/logrotate.d/admin
reading config info for /var/log/admin.log
也就是说： /etc/syslog.conf 与/etc/logrotate.d/* 对应文档搭配起来使用；先由syslogd 按照syslog.conf指定的方法处理消息，
然后送给 logrotat来按照/etc/logrotate.d/*文档要求来轮替日志。 # dmesg | more 读/var/log/boot.log
dmesg | grep 'eth'
# last -n number
[root@linux ~]# last -f filename
-n ：number
-f ：last 预设值为读 /var/log/wtmp 文档，而 -f 读取不同的文档
# last -n 5 -f /var/log/wtmp.1
dmtsai2 pts/2 Mon Oct 24 14:18 - 14:18 (00:00)
dmtsai2 work:0 work Mon Oct 24 14:18 gone - no logout
dmtsai2 work:0 work Mon Oct 24 14:18 - 14:18 (00:00)
dmtsai2 pts/2 Mon Oct 24 14:18 - 14:18 (00:00)
dmtsai2 work:0 work Mon Oct 24 14:18 - 14:18 (00:00)
# lastlog

『叁』 MFC读取二进制文件

|读写二进制文件参考代码：版
CFile rfile,wfile;
if(!权rfile.Open(_T("c://notepad.exe"),CFile::modeRead))
return 1;
if(!wfile.Open(_T("c://ee.exe"),CFile::modeCreate|CFile::modeWrite))
return 1;
BYTE buf[1024];
UINT readed;
while((readed=rfile.Read(buf,1024))>0)
{
wfile.Write(buf,readed);
}
rfile.Close();
wfile.Close();

『肆』 黑客会攻击个人电脑吗

只要你上线的时候IP是固定的，他就可以入侵，基本一般高手5-10分钟就可以破进去

『伍』 linux message 日志有如下信息是什么情况

日志的概念为了维护自身系统资源的运行状况，计算机系统一般都会有相应的日志记录系统有关日常事件或者误操作警报的日期及时间戳信息。这些日志信息对计算机犯罪调查人员非常有用。所谓日志（Log）是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为；对可疑行为进行告警；确定入侵行为的范围；为恢复系统提供帮助；生成调查报告；为打击计算机犯罪提供证据来源。日志的特点日志记录着系统中特定事件的相关活动信息，从计算机取证角度看，日志主要有以下特点：（1）不易读懂虽然大部分系统的日志都以文本的形式记录，但由于各系统日志格式不一致，不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息，必须借助专用的工具分析这些日志，否则很难读懂其中的日志信息。（2）数据量大通常对外服务产生的日志文件如Web服务日志、防火墙、入侵检测系统日志和数据库日志以及各类服务器日志等都很大，一个日志文件一天产生的容量少则几十兆、几百兆，多则有几个G，几十个G，这使得获取和分析日志信息变得很困难。（3）不易获取由于网络中不同的操作系统、应用软件、网络设备和服务产生不同的日志文件，即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。目前国际上还没有形成标准的日志格式，各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式，使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。（4）不同日志之间存在某种必然的联系一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录，仅反映本系统的某些特定事件的操作情况，并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系统日志中留下痕迹，如防火墙IDS日志、操作系统日志等，这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析，才能准确反映用户活动情况。（5）容易被修改、破坏甚至伪造产生系统日志的软件通常为应用系统而不是作为操作系统的子系统运行，所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护的目录中，并以文本方式存储，未经加密和校验处理，没有提供防止恶意篡改的有效保护机制。因此，日志文件并不一定是可靠的，入侵者可能会篡改日志文件，从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的，在计算机取证中扮演着重要的角色，入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息，甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。 Unix系统日志在Unix下，最常用的存放日志文件的目录是： /usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录下，或其子目录下，你可以找到以下日志文件（也许是其中的一部分）： lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp vold.log 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 记录输出到系统主控台以及由syslog系统服务程序产生的消息。syslog采用可配置的、统一的系统登记程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是，为了防止入侵者修改、删除messages里的记录信息，可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。任何程序都可以通过syslog记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录到另一台主机上的事件。 Syslog依据两个重要的文件：/sbin/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog信息被写到/var/adm或/ar/log目录下的信息文件中（*message.）。一个典型的syslog记录包括生成程序的名字和一个文本信息，它还包括一个设备和一个行为级别（但不在日志中出现）。 Windows系统日志以Windows2000/XP为例，日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。 日志文件默认位置： 应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%\sys tem32\config，默认文件大小512KB，管理员都会改变这个默认大小。 安全日志文件：%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件：%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志：%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%sys temroot%\sys tem32\logfiles\msftpsvc1\ 默认每天一个日志 Internet信息服务WWW日志默认位置：%sys temroot%\sys tem32\logfiles\w3svc1\ 默认每天一个日志 Scheler服务日志默认位置：%sys temroot%\schedlgu.txt 以上日志在注册表里的键： 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的位置： HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中的位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent Windows NT/2000主要有以下三类日成记录系统事件： (1)应用程序日志记录由应用程序产生的事件。例如，某个数据库程序可能设定为每次成功完成备份操作后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定，并提供相应的系统工具帮助用户使用应用程序日志。 (2)系统日志记录由Windows NT/2000操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 (3)安全日志记录与安全相关事件，包括成功和不成功的登录或退出、系统资源使用事件等。与系统日志和应用程序日志不同，安全日志只有系统管理员才可以访问。 Windows NT/2000的系统日志由事件记录组成。每个事件记录为三个功能区：记录头区、事件描述区和附加数据区。

『陆』 英文达人帮忙啊，帮我把中文简历翻译成英文吧，谢谢

▉ personal profiles (Personal Data)
Name: Wang from National: Han
Sex: Male Address: Beijing Xiyuan Thienthong
Political landscape: member date of birth :1985-12-27
Profession: Computer Science and Technology Contact:
Ecation: Undergraate
Intention ▉ job (Job Intention)
Look forward to the goal posts: java Development Engineer
▉ professional skills (Professional Skills)
Proficient in Core Java, master jsp, Servlet, JDBC, the application of Html, XML and other technologies
Self-learning C + +, VB, C #, JavaScript and so on, can be simple to use
Proficiency in the use of Struts, Struts2, Hibernate, Spring open source framework
Familiar with MySql, SQLServer, Oracle database, master database based on Oracle programming: SQL, PL / SQL
▉ level language (Language Level)
English 4 (389) fluent Putonghua SCJP (83)
▉ project experience (Project Experience)
Project: carrier-class subscriber management and billing management system (NetCT OSS )----- 2009 years 6 month
Project Description: The system is mainly to complete online rental business laboratory billing, management, and access to statistics, based on the Unix platform, Mysql database, Web interface, MVC structure. To achieve using a servlet, struts, hibernate, jsp, ajax and other technologies. Flexibility to add, modify tariff pricing information and promotional information; by, delete, search, change user information, the administrator information; billing on a monthly basis to generate the user; a monthly basis, the annual accounts on the respective information to generate statistical reports and annual accounts statistical information and allows the user to query through the Internet from their current or historical bills.
Responsibility Description: As the system moles and sub-moles are more group development process is achieved. Indivials completed the login system as well as the rights management mole of the seven sub-mole (permission to view, increased authority, authority to delete, the role of browsing, the role of increasing the role of changes to the role of the deletion).
Project II: online shopping system (Shopping Cart )---- 2009 month 5 years
Project Description: Small-line shopping system, the use of Tomcat server and mysql database, the main achievement of the online shopping cart features, including a dynamic display of goods, information, procts, shopping cart add, delete, modify procts, as well as the generation of orders, inquiries functions. The entire system using MVC design pattern, database access using Hibernate to achieve, control part of the use of Servlet and struts2 (Main) combined to complete the proper use of ajax technology
Responsibility Description: The project is a small-scale projects, indivials independently completed the landing system, registration, dynamic display of goods, the shopping cart to add, delete, modify procts, after the number of total function ajax partial modification
Project III: NetCT OSS background data integration system automatically 4 years month ---- 2009
Project Description: The original collection java regular billing system log file (UNIX systems / var / adm / wtmpx document) and data collection and classification of a set package to deal with, and then the final result set to upload through the Socket central processing system, the central processing system to collect information and data saved to the MySQL database, and finally collected and deposited in the database integration of the cyclical data, respectively, into the corresponding year, month, day in the tables.
Responsibility Description: In this project, completed its own independent function of all (the background part of the binary data analysis, data transfer and data integration of three major auto-cycle)

Other small items: a user information management system, the console version of two-plane Gobang
▉ ecational background (Ecation Background)
January 2009 -2009 Canada in May of the year foreign IT training within the Java-based Unix software development
September 2005 - June 2009 Computer Science and Technology (software orientation) undergraate
Add: ▉ of social practice and receive incentives (Social Practice & Rewards)
Social practice:
Junior summer: java speaker based on the teacher training courses
Sophomore summer: C language teachers for secondary examination
School experience:
First year e to the outstanding performance of military men was selected as captain side
In 2006 ring the celebration of 55 years was named outstanding school volunteers, and presented a certificate of outstanding volunteers
--------------------------------------------
Self-evaluation ▉ (Personal Valuation)
More traditional, his easy-going, responsible, have a strong team spirit and ability to cooperate.
The issue of good organizational skills, software development skills, and good programming habits.
Stable peace of mind, like problem-solving, innovative, loving to learn, to constantly learning and mastering new technologies.
The work of a conscientious and responsible, patient
(* Note: PowerWord online automatic translation made on the other, I used this is the candidate of the, software very far-fetched translation)

『柒』 unix系统，日志满了要如何处理

1、清理core
# find / -name core -exec rm {} \;
2、清理日志
# cd /var/adm
# >; messages
# >; syslog
# >; utmp; >; utmpx; >; wtmp; >; wtmpx
3、清理邮箱
# cd /usr/spool/mail
# >; 各用户名

『捌』 谁能告诉我攻击破坏服务器应该学习哪些知识 具体点

1 隐藏自己常见的攻击者隐藏自身的方式有以下几种：从已经取得控制权的主机上通过telnet或rsh跳跃。 从windows主机上通过wingates等服务进行跳跃。 利用配置不当的代理服务器进行跳跃。 利用电话交换技术先通过拨号找寻并连入某台主机，然后通过这台主机再连入internet来跳跃。 2 预攻击探测 这步的主要任务是收集有关要攻击目标的有用的的信息。这些信息包括目标计算机的硬件信息、目标计算机的用户信息、存在的漏洞等。 通常是从已经攻入的系统中的.rhosts和.netrc文件中将所列的机器挑选出来，从系统的/etc/hosts文件中可以得到一个很全的主机列表。但大多数情况下，选定一个攻击目标是一个比较盲目的过程，除非攻击者有很明确的目的和动机。攻击者也可能找到dns表，通过dns可以知道机器名、ip地址、机器类型、甚至还可以知道机器的主人和单位。 3 采取攻击行为 在攻击探测中如果攻击者发现目标机器系统有可以被利用的漏洞或弱点，则立即采取攻击行为。在此过程中具体采用的攻击行为要视目标机器系统而定，目前较流行的手段有暴力破解、缓冲区益出、跨站脚本、拒绝服务、欺骗等。 4 清除痕迹 攻击者清除攻击痕迹的方法主要是清除系统和服务日志。有些工具可以清除日志，如THC提供的cleara.c。cleara.c可以清除utmp/utmpx，wtmp/wtmpx，修复lastlog让其仍然显示该用户的上次登陆信息。有时攻击者会自己对日志文件进行修改，不同的unix版本的日志存储位置不同。 黑客网络攻击的一般步骤 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题： （１）对网络上信息的监听 （２）对用户身份的仿冒 （３）对网络上信息的篡改 （４）对发出的信息予以否认 （５）对信息进行重发 对于一般的常用入侵方法主要有 1.口令入侵 所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。 2.特洛伊木马术 说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。 3.监听法 这是一个很实用但风险也很大的黑客入侵方法，但还是有很多入侵系统的黑客采用此类方法，正所谓艺高人胆大。 网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。” 此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。 有一种叫sniffer的软件，它可以截获口令，可以截获秘密的信息，可以用来攻击相邻的网络。 4.E-mail技术 5.病毒技术 6.隐藏技术 攻击的准备阶段 首先需要说明的是，入侵者的来源有两种，一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵，包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。 进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户的权限，取得超级用户的权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术，下面分别介绍。 1.确定攻击的目的 攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作，而不能随意控制目标的系统的运行。要达到破坏型攻击的目的，主要的手段是拒绝服务攻击（Denial Of Service）。另一类常见的攻击目的是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作，包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露，攻击者靠猜测或者穷举法来得到服务器用户的密码，然后就可以用和真正的管理员一样对服务器进行访问... 1 隐藏自己常见的攻击者隐藏自身的方式有以下几种： ?从已经取得控制权的主机上通过telnet或rsh跳跃。 ?从windows主机上通过wingates等服务进行跳跃。 ?利用配置不当的代理服务器进行跳跃。 ?利用电话交换技术先通过拨号找寻并连入某台主机，然后通过这台主机再连入internet来跳跃。 2 预攻击探测 这步的主要任务是收集有关要攻击目标的有用的的信息。这些信息包括目标计算机的硬件信息、目标计算机的用户信息、存在的漏洞等。 通常是从已经攻入的系统中的.rhosts和.netrc文件中将所列的机器挑选出来，从系统的/etc/hosts文件中可以得到一个很全的主机列表。但大多数情况下，选定一个攻击目标是一个比较盲目的过程，除非攻击者有很明确的目的和动机。攻击者也可能找到dns表，通过dns可以知道机器名、ip地址、机器类型、甚至还可以知道机器的主人和单位。 3 采取攻击行为 在攻击探测中如果攻击者发现目标机器系统有可以被利用的漏洞或弱点，则立即采取攻击行为。在此过程中具体采用的攻击行为要视目标机器系统而定，目前较流行的手段有暴力破解、缓冲区益出、跨站脚本、拒绝服务、欺骗等。 4 清除痕迹 攻击者清除攻击痕迹的方法主要是清除系统和服务日志。有些工具可以清除日志，如THC提供的cleara.c。cleara.c可以清除utmp/utmpx，wtmp/wtmpx，修复lastlog让其仍然显示该用户的上次登陆信息。有时攻击者会自己对日志文件进行修改，不同的unix版本的日志存储位置不同。

『玖』 关于linux系统下的FTP传输日志文件xferlog的维护

维护系统很长时间，第一次遇见系统日志把var空间占满了，经过查找资料解决。
主要的日志子系统：
1.连接时间日志--由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。
2.进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
3.错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下：
access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages从syslog中记录信息（有的链接到syslog文件）
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息（通常链接到messages文件）
utmp纪录当前登录的每个用户
wtmp一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话
直接删除日志:
1.删除所有的日志：find /var -type f -exec rm -v {} \;（最后的分号也是必须命令的一部分）
2.设置/etc/logrotate.d/syslog文件控制日志文件的大小。
3. 如果实在想自己手工清空某些日志文件的话， 可以使用命令：> /var/log/message。这个命令的功能是把文件message中的内容清空。 也可以将此命令加入到cron任务中。
linux详细日志解析：
unix系统日志文件通常是存放在"/var/logand /var/adm"目录下的。通常我们可以查看syslog.conf来看看日志配置的情况．如：cat /etc/syslog.conf
其中sunos的在/var/log和/var/adm下.还有/usr/adm为/var/adm的链接．
redhat的在/var/log 和 /var/run下．

下面的是sun os5.7中的日志样本．
# ls /var/adm
acct log messages.1 passwd sulog vold.log
aculog messages messages.2 sa utmp wtmp
lastlog messages.0 messages.3 spellhist utmpx wtmpx

# ls /var/log
authlog syslog syslog.1 syslog.3
sysidconfig.log syslog.0 syslog.2 syslog.4
下面的是redhat6.2中的日志样本．
# ls /var/log
boot.log dmesg messages.2 secure uucp
boot.log.1 htmlaccess.logmessages.3 secure.1 wtmp
boot.log.2 httpd messages.4 secure.2 wtmp.1
boot.log.3 lastlog netconf.logsecure.3 xferlog
boot.log.4 mailllog netconf.log.1secure.4 xferlog.1
cron maillog netconf.log.2sendmail.st xferlog.2
cron.1 maillog.1 netconf.log.3spooler xferlog.3
cron.2 maillog.2 netconf.log.4spooler.1 xferlog.4
cron.3 maillog.3 news spooler.2
cron.4 maillog.4 normal.log spooler.3
daily.log messagesrealtime.log spooler.4
daily.sh messages.1 samba transfer.log
# ls /var/run
atd.pid gpm.pid klogd.pid random-seed treemenu.cache
crond.pid identd.pid netreport runlevel.dir utmp
ftp.pids-allinetd.pid news syslogd.pid
一般我们要清除的日志有
lastlog
utmp(utmpx)
wtmp(wtmpx)
messages
syslog