在UNIX系统遭受入侵后，确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器，但是他们发动正式攻击前所做的目标信息收集工作（试探性扫描）常常是从他们的工作计算机开始的，下面介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。

1. messages

/var/adm是UNIX的日志目录（Linux下则是/var/log）。其中有相当多ASCII格式的日志文件，当然 ，让我们把焦点首先集中在messages个文件上，这一般也是入侵者所xx的文件，它记录了来自系统级别的信息。下面是显示版权或者硬件信息的记录信息：

Apr 29 19：06：47 www login[28845]： FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ，User not known to the underlying authentication module

这是登录失败的记录信息： Apr 29 22：05：45 game PAM_pwdb[29509]： (login) session opened for user ncx by (uid=0)。

{dy}步应该是 Kill －HUP cat `/var/run/syslogd.pid`，当然，有可能入侵者已经做过了。

2. wtmp，utmp logs，FTP日志

你可以在/var/adm，/var/log，/etc目录中找到名为wtmp，utmp的文件，这些文件记录着用户是何时、何地远程登陆到主机上的，在黑客软件中有一个最老也是{zlx}的zap2（编译后的文件名一般叫做z2，或者叫wipe），也是用来“抹”掉在这两个文件中用户登录的信息的，然而由于懒惰或者网络速度过于缓慢，很多入侵者没有上载或编译这个文件。管理员可以使用lastlog这个命令来获得入侵者上次连接的源地址（当然，这个地址有可能是他们的一个跳板）。FTP日志一般是/var/log/xferlog，该文件详细的记录了以FTP 方式上传文件的时间、来源、文件名等等，不过由于该日志太明显，所以稍微高明些的入侵者几乎不会使用FTP来传文件，他们一般使用的是RCP。

3. sh_history

获得 root 权限后，入侵者就可以建立他们自己的入侵帐号，更高级的技巧是给类似 uucp，lp 等不常使用的系统用户名加上密码。在遭受入侵后，即使入侵者删除了.sh_history 或者.bash_hi－story 这样的文件，执行kill －HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘，然后可执行find / －name.sh_historyprint，仔细查看每个可疑的 shell 命令日志。你可在/usr/spool/lp(lp home dir)，/usr/lib/uucp/等目录下找到.sh_history 文件，还有可能在其中发现类似 FTP xxx.xxx.xxx.xxx 或者rcpnobody@xxx.xxx.xxx.xxx：/tmp/backdoor /tmp/backdoor这样能显示出入侵者IP或域名的命令。

4. HTTP服务器日志

这是确定入侵者的真实攻击发源地址的xxx方法了。以{zlx}的Apache服务器为例，在${prefix}/logs/目录下你可以发现access.log这个文件，该文件记载了访问者的IP，访问的时间和请求访问的内容。在遭受入侵后，我们应该可以在该文件中发现类似下面的信息： record：xxx.xxx.xxx.xxx[28/Apr/2000：00：29：05 －0800] “GET/cgi－bin/rguest.exe”404 －xxx.xxx.xxx.xxx[28/Apr/2000：00：28：57 －0800] “GET /msads/Samples/SELECTOR/showcode.asp” 404

这表明是来自 IP 为 xxx.xxx.xxx.xxx的入侵者在 2000 年 4 月 28 号的 0 点 28 分试图访问/msads/Samples/SELECTOR/showcode.asp文件，这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器的入侵者常选择离自己最近的服务器。结合攻击时间和IP，我们就可以知道入侵者的大量信息。

5. 核心dump