a-tips> Sebagai contoh, berikut ini adalah cuplikan baris isi dari berkas /var/adm/
auth.log:
Apr 8 08:47:12 xact passwd[8518]: password for `inet' changed
by root
Apr 8 10:02:14 xact su: (to root) budi on /dev/ttyp3
Baris pertama menunjukkan bawah password untuk pemakai “inet” telah
diganti oleh “root”. Baris kedua menunjukkan bahwa pemakai (user) yang
bernama “budi” melakukan perintah “su” (substitute user) dan menjadi
user “root” (super user). Kedua contoh di atas menunjukkan entry yang
nampaknya normal, tidak mengandung security hole, dengan asumsi pada
baris kedua memang pemakai “budi” diperbolehkan menjadi root. Contoh
entry yang agak mencurigakan adalah sebagai berikut.
Apr 5 17:20:10 alliance wu-ftpd[12037]: failed login from
ws170.library.msstate.edu [130.18.249.170], m1
Apr 9 18:41:47 alliance login[12861]: invalid password for
`budi' on `ttyp0' from `ppp15.isp.net.id'
Baris di atas menunjukkan kegagalan untuk masuk ke sistem melalui
fasilitas FTP (baris pertama) dan telnet (baris kedua). Pada baris kedua
terlihat bahwa user “budi” (atau yang mengaku sebagai user “budi”)
mencoba masuk melalui login dan gagal memberikan password yang valid.
Hal ini bisa terjadi karena ketidak sengajaan, salah memasukkan password,
atau bisa juga karena sengaja ingin mencoba-coba masuk dengan userid
“budi” dengan password coba-coba. Cara coba-coba ini sering dilakukan
dengan mengamati nama user yang berada di sistem tersebut (misalnya
dengan menggunakan program finger untuk mengetahui keberadaan
sebuah user).
Contoh berikut diambil dari isi berkas /var/adm/mail.log, yang
berfungsi untuk mencatat aktivitas yang berhubungan dengan sistem mail.
Apr 9 18:40:31 mx1 imapd[12859]: Login faiure
user=^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
host=vhost.txg.wownet.net
Apr 9 18:40:32 mx1 imapd[12859]: Success, while reading line
user=^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P