首页 > 系统加固 > Linux/Unix > 轻量级入侵检测系统(IDS)-Log4Trail
2012
09-13

轻量级入侵检测系统(IDS)-Log4Trail

Log4Trail是一款轻量级的入侵检测系统,它可以用来监视用户的文件、文件夹、配置、脚本、备份,以及系统管理员和用户的目录等。它适用于windows、Linux、FreeBSD、Mac os等.

Log4Trail有非常友好的图形界面,可以帮助初学者,以及初级系统管理员和用户等,可以用来监视他们的文件和文件夹。一旦有人运行一些应用程序,它都会弹窗提示窗口,还会记录应用程序修改,并发送到配置好的邮箱中。

Log4Trail的安装:

下载地址:http://www.pir8geek.com/wp-content/uploads/2012/07/Log4Trail.tar.gz

#tar -zxvf  Log4Trail.tar.gz

#cd Log4Trail

运行Log4Trail命令如下:

#java -jar Log4Trail.jar

轻量级入侵检测系统(IDS)-Log4Trail - 第1张  | 阿德马Web安全

该应用程序有个新功能,需要配置一下接收有关文件SHA1发生变化的邮件。一旦有文件SHA1发生变化,会往你配置的邮箱发送一份邮件。点击options–>Enable Mailer.接下来是对邮件接收发送进行相关配置。配置好之后如果计算机或者服务器上的文件发生改动,都会发邮件到配置好的邮箱.

轻量级入侵检测系统(IDS)-Log4Trail - 第2张  | 阿德马Web安全

接下来通过点击”File”-“File Manager”来设置要监视的文件或者文件目录。也可以直接用ctrl+shift+a调出设置的界面.

轻量级入侵检测系统(IDS)-Log4Trail - 第3张  | 阿德马Web安全

单击“New”按钮浏览你要监视的文件或者目录建立一个监视点.举个例子有这样一种场景:一个系统管理员,想要监视或者检查是否有新的账户被添加到linux服务器,这样他就可以在Log4Trail的文件管理器配置监视/ etc/ passwd文件。这样可以帮助他判断检测是否有增加恶意用户在系统中,来确定是否被入侵。本文中将设置监视/var/www/目录,因为有搭建配置一个LAMP在该目录下,可以检测是否有恶意文件加入到了该目录下.添加一个目录进行监控后,会出现类似如下的对话框:

轻量级入侵检测系统(IDS)-Log4Trail - 第4张  | 阿德马Web安全

注意只有当要监视的是一个目录的时候会出现如上的对话框,要设置目录的递归类型,点击”Yes”开始选择设置目录递归类型.有以下两种递归类型:

Force recursion in subdirectories(强制递归子目录),如果想检测当前目录和子目录中的文件内容,可以选择这一项。

Only recurse contents(仅递归内容),如果你只想监视当前目录下的文件的内容,选择这项就可以。

本文中选择 “仅递归内容”。

轻量级入侵检测系统(IDS)-Log4Trail - 第5张  | 阿德马Web安全

这样设置之后就可以监视是否有新的文件加入该目录了.如果还需要监视其它的目录,可以按照以上过程再新建一个监视点.设置好之后重新启动Log4Trail,就可以让设置生效了.

轻量级入侵检测系统(IDS)-Log4Trail - 第6张  | 阿德马Web安全

应用程序重启完毕之后就可以开始监视设置好的监视点了,为了确认设置生效,可以做为一个入侵检测系统,做以下测试:

先在自己的LAMP服务器上放一个php webshell,然后在其它电脑上访问这个后门,修改/var/www/目录下的bot.txt文件.然后就能在系统托盘到看到Log4Trail有下图中的提示:

轻量级入侵检测系统(IDS)-Log4Trail - 第7张  | 阿德马Web安全

提示bot.txt文件已经被修改,Log4Trail已检测到刚才修改过bot.txt文件.同时也能收到一份邮件,如图:

轻量级入侵检测系统(IDS)-Log4Trail - 第8张  | 阿德马Web安全

邮件中能看到有什么文件被编辑或者被修改.

如果有黑客修改了你网站的首页,同样会看到如下的提示和邮件通知。

轻量级入侵检测系统(IDS)-Log4Trail - 第9张  | 阿德马Web安全

 

Log4Trai的功能是兼容windows系统的,也可以用来监视同一个网络中的员工在做什么,即使没有远程连接。也可以用来监视具有恶意修改功能的软件。在windows 系统下可以设置监视windows目录,因为该目录包含了大量的系统文件。

Log4Trail还可以最小化在系统托盘上,当你点击“X”按钮的时候,它仍然会继续监控您的文件和目录。再次要显示的时候,只要点击一下显示在您的系统托盘中的图标。

轻量级入侵检测系统(IDS)-Log4Trail - 第10张  | 阿德马Web安全

Log4Trail的监控和扫描模式可以设置为High(高), Normal (Default Mode)(标准,默认模式), Low(低), 或者Paused(暂停).同时应用程序有一个启动或者停止的互动模式。应用程序启动的时候会自动配置监控和扫描模式,配置好文件管理器监视点之后不需要另外配置监控和扫描模式。

 

原文链接:http://resources.infosecinstitute.com/using-log4trail/

阿德马翻译自国外网站,请尊重劳动成果,转载注明出处,谢谢。

翻译的不准确之处,欢迎留言指正.

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。