Linux系統入侵痕跡分析取證
獲取基本資訊
向伺服器運維人員詢問,系統的基本配置,安裝的發行版本,建立和使用的賬戶,
所在網路拓撲的位置、網路配置情況,及其所承載的服務。
系統資訊
[root@localhost ~]# uname -a
- 省略......
[root@localhost ~]# lsb_version -a
- 省略......
[root@localhost ~]# head -n 1 /etc/issue
- 省略......
使用者及組
[root@localhost ~]# cut -d: -f1 /etc/passwd
- 省略......
[root@localhost ~]# cut -d: -f1 /etc/group
- 省略......
防火牆及路由
[root@localhost ~]# iptables -L
- 省略......
[root@localhost ~]# route -n
- 省略......
獲取網路資訊
網路介面
[root@localhost ~]# ifconfig -a
開放埠
[root@localhost ~]# netstat -tanp
[root@localhost ~]# ss -tanp
系統執行狀態
計劃任務
系統cron任務
檢查 /etc/crontab 有無存在異常項
[root@localhost ~]# cat /etc/crontab
使用者cron任務
檢查各使用者cron任務
每個使用者都有專用的cron任務檔案:/var/spool/cron/USERNAME
程序和服務
ps
使用 ps 命令檢視當前執行的程序列表
- PS常用組合
- ps aux
- a 與終端相關的程序
- u 以使用者為中心組織程序狀態資訊顯示
- x 與終端無光的程序
- ps -ef
- e 顯示所有程序
- f 顯示完整格式程式資訊
- ps -eFH
- e 顯示所有程序
- F 顯示完整格式的程序資訊
- H 以程序層級格式顯示程序相關資訊
- ps aux
top、htop
使用 top 或 htop 命令用來顯示系統中正在執行的程序的實時狀態CPU 利用情 況、記憶體消耗情況,以及每個程序情況
啟動服務
使用 chkconfig 或 systemctl 命令列出所有啟動的系統服務 程式
日誌分析
登入日誌
二進位制日誌檔案 [登入]
1. 最近一次註冊日誌
[ /var/log/lastlog ] # 最近一次使用者登入的時間記錄
2. 使用者登入日誌
[ /var/log/wtmp ]
[root@localhost ~]# last
- 或
[root@localhost ~]# last -f <filename> # 指定輸入檔案
應用日誌
1. Apache伺服器日誌
/var/log/httpd/access.log # 其中包含Apache伺服器的客戶系統訪問記錄
/var/log/httpd/error.log # 其中包含Apache伺服器的所有出錯記錄
2. CUPS列印系統日誌
CUPS [ Common Unix Printing System ] 通用UNIX列印系統
/var/log/cups/access_log # 訪問日誌檔案,其中記錄了印表機的設定情
況,提交的列印作業,以及列印作業的狀態記錄等資訊
/var/log/cups/error_log # 預設的日誌檔案,儲存各種錯誤資訊
3. Samba 伺服器日誌
> [目錄] /var/log/samba
[root@localhost ~]# ls /var/log/samba
> log.smbd # 其中包含Samba伺服器啟動以及SMB/CIFS檔案與列印共享方面的資訊
> log.nmbd # 其中包含基於IP協議的NETBIOS網路通訊方面的資訊
> log.sysname # 用於記錄特定客戶系統的服務請求資訊,檔名中的sysname是客戶系統的主機名,如 log.winxp
4. 其他日誌
/var/log/xferlog # 用於記錄FTP伺服器的檔案傳輸日誌資訊
/var/log/mysqld.log # 用於記錄MySQL資料庫伺服器的日誌資訊
/var/log/yum.log # 用於記錄利用yum安裝、刪除或更新軟體的日誌資訊
系統日誌
1. 系統核心環形緩衝區
/var/log/dmesg 日誌檔案,重現系統引導過程中控制檯的輸出資訊。如果在引
導過程中出現問題,系統核心引導資訊有助於診斷問題,分析產生問題的原因
[[email protected] ~]# dmesg | less
2. 系統訊息日誌
/var/log/messages 是系統資訊的集中儲存位置,除了專門的日誌檔案之外,
其中記錄了大部分系統程序、使用程式甚至應用程式輸出的日誌資訊。
3. 安全審計日誌
/var/log/audit/audit.log 用於記錄系統安全審計資訊,尤其是SELinux安全審計資訊
3. 安全認證日誌
/var/log/secure 用於記錄系統安全認證資訊,包含驗證和授權方面資訊,尤
其是sshd會將所有資訊記錄[其中包括失敗登入]在這裡資訊
/var/log/auth.log 同上
相關推薦
Linux系統入侵痕跡分析取證
獲取基本資訊 向伺服器運維人員詢問,系統的基本配置,安裝的發行版本,建立和使用的賬戶, 所在網路拓撲的位置、網路配置情況,及其所承載的服務。 系統資訊 [root@localhost ~]
linux 系統啟動過程分析
系統root 密碼丟失故障 linux啟動順序主板BIOS加電自檢 檢查硬件--> 讀取硬盤引導扇區(MBR)--> 啟動引導程序(grub)--> 選擇系統--> 加載系統內核(kernel shell)--> 啟動系統讀取相應的默認設置(環境變量,運行級別)--
linux 系統調用分析
linux內核 系統 eight study cal 課程 詳細 http api 本文為我學習孟寧老師的linux內核課程的總結,同時也作為課程學習的作業。 唐建,《Linux內核分析》MOOC課程http://mooc.study.163.com/course/USTC
Linux 系統內存分析
連續 結構 介紹 合並 程序 數量 linux內存 del 單獨 1. 內存基本介紹 1.計算機基本結構: 電腦之父——馮·諾伊曼提出了計算機的五大部件:輸入設備、輸出設備、存儲器、運算器和控制器 如圖: 輸入設備:鍵盤鼠標等 CPU:是計算機的運算核心和控制核心,讓電腦
Linux系統呼叫過程分析
Linux系統呼叫過程分析 參考: 《Linux核心設計與實現》 0 摘要 linux的系統呼叫過程:層次例如以下:使用者程式------>C庫(即API):INT 0x80 ----->system_call------->系
linux系統入侵排查以及木馬清除
挖礦病毒攻防 一.rootkit病毒介紹 這類挖礦木馬是一種很深的隱藏在作業系統中執行惡意或令人討厭的程式,正如病毒名字所述,這個木馬病毒就是用來挖礦的,通過一系列指令碼來控制系統的cpu做一些計算,同時將計算結果發往外界。一般的病毒清除方
如何檢視linux系統下的各種日誌檔案 linux 系統日誌的分析大全
日誌分類: 1. 連線時間的日誌 連線時間日誌一般由/var/log/wtmp和/var/run/utmp這兩個檔案記錄,不過這 兩個檔案無法直接cat檢視,並且該檔案由系統自動更新,可以通過如下: w/who/finger/id/last/lastlog
【轉載】Linux系統啟動過程分析
經過對Linux系統有了一定了解和熟悉後,想對其更深層次的東西做進一步探究。這當中就包括系統的啟動流程、檔案系統的組成結構、基於動態庫和靜態庫的程式在執行時的異同、協議棧的架構和原理、驅動程式的機制等等。 本人在綜合了現有網上大家智慧的基礎上,結合對2.6
linux系統日誌以及分析
Linux系統擁有非常靈活和強大的日誌功能,可以儲存幾乎所有的操作記錄,並可以從中檢索出我們需要的資訊。 大部分Linux發行版預設的日誌守護程序為 syslog,位於 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,預設配置檔案
嵌入式Linux系統啟動過程分析
一 啟動 嵌入式系統在啟動時,引導程式碼、作業系統的執行和應用程式的載入主要有兩種架構,一種是直接從Nor Flash啟動的架構,另一種是直接從Nand Flash啟動的架構。 1 從Nor Flash啟動 NorFlash具有晶片內執行(XIP,eXecute In P
Linux系統調用過程分析
policy 用戶空間 抽象接口 保護 name ack for 內嵌 驅動程序 參考: 《Linux內核設計與實現》 0 摘要 linux的系統調用過程: 層次例如以下: 用戶程序------>C庫(即API):INT 0x80 ----->system_
linux系統故障分析與排查
使用 權限 建立 shel 自動識別 了解 緊急 rhel5 1.4 在處理Linux系統出現的各種故障時,故障的癥狀是最先發現的,而導致這以故障的原因才是最終排除故障的關鍵。熟悉Linux系統的日誌管理,了解常見故障的分析與解決辦法,將有助於管理員快速定位故障點。“對癥下
Linux系統故障分析與排查--日誌分析
獲得 cat cron stl 文本格式 etc 服務的啟動 網絡 調試 處理Linux系統出現的各種故障時,故障的癥狀是最先發現的,而導致這以故障的原因才是最終排除故障的關鍵。熟悉Linux系統的日誌管理,了解常見故障的分析與解決辦法,將有助於管理員快速定位故障點,“
為什麽要有uboot?帶你全面分析嵌入式linux系統啟動過程中uboot的作用
統一 一次 fail 進入 是我 臺式機 平板 配置 webp 1.為什麽要有uboot 1.1、計算機系統的主要部件 (1)計算機系統就是以CPU為核心來運行的系統。典型的計算機系統有:PC機(臺式機+筆記本)、嵌入式設備(手機、平板電腦、遊戲機)、單片機(家用電器像
Linux系統內對高CPU的監控及日誌分析
文件 mos anti sage them 其中 generate ted cpu 使用linux系統時,占用cpu資源過高和,用腳本排查: 1,實時監控,一旦有cpu占用高的進程,程序啟動; 2,再對進程分析,得出對應線程; 3,對對應線程所在的程序日誌文檔進行分析,比如
linux運維之分析系統負載及運行狀況
sort logs root 磁盤空間 數據 for gre 網卡 config 1.刪除0字節文件 find -type f -size 0 -exec rm -rf {} \; 2.查看進程 #按內存從大到小排列 ps -e -o "%C : %p :
阿裏雲服務器ECS Linux系統分析nginx或apache當天訪問最多的IP
nginx日誌Linux 系統查詢 nginx 或 apache 當天訪問最多的 IP 方法,以一鍵安裝包為例可以執行如下命令:cat /alidata/log/nginx/access/testweb.log |grep `date "+%d/%b"`|awk '{print $
第一次作業:深入分析Linux系統進程
pac 重要 模型 組織 zombie linu lsp wid color 前言:在現在的操作系統中有很多種,我主要是講講Linux操作系統的,首先我們了解一下Linux系統,Linux是一套免費使用和自由傳播的類Unix操作系統,是一個基於POSIX和UNIX的多用戶、
第一次作業:基於Linux系統深入源碼分析進程模型
wake up nta emp else Go nts 進程資源 4.2 main 1.前言 本文主要基於Linux 2.6源代碼分析進程模型。源代碼下載地址:https://elixir.bootlin.com/linux/v2.6.39/source 2.進程 定義:進
linux系統中的進程狀態分析
關心 很多 一段 捕捉 task 復制 main .net gdb 轉載地址:https://blog.csdn.net/shenwansangz/article/details/51981459 linux是一個多用戶,多任務的系統,可以同時運行多個用戶的多個程序,就必然