用linux收集证据的一般程序

2008-01-14 23:50:00

在redhat linux家族系列上

第一步确定系统:cat /etc/redhat-release

Red Hat Enterprise Linux AS release 4 (Nahant Update 4)

第二步确定主机的名称和IP以及其他网络设置

[root@localhost t]# cat etc/hosts

127.0.0.1 apollo.honeyp.edu apollo localhost.localdomain localhost

[root@localhost t]#

[root@localhost t]# cat etc/sysconfig/network

NETWORKING=yes

HOSTNAME=apollo.honeyp.edu

GATEWAY=172.16.1.254

DEVICE=eth0

BOOTPROTO=static

BROADCAST=172.16.1.255

IPADDR=172.16.1.107

NETMASK=255.255.255.0

NETWORK=172.16.1.0

ONBOOT=yes

第三步查看系统上谁曾经登陆过用的命令是

[root@localhost t]# last -f var/log/wtmp

root tty1 Thu Nov 9 10:37 gone - no logout

wtmp begins Wed Nov 8 22:59:52 2000

这里已经被入侵内者给清除痕迹了。

第四步查看谁曾经登陆过和从哪里过来的

[root@localhost t]# cat var/log/secure

Nov 5 10:54:49 apollo in.telnetd[680]: connect from 207.239.115.11

Nov 6 02:59:23 apollo in.ftpd[973]: connect from 128.121.247.126

Nov 8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2

Nov 8 00:08:40 apollo in.telnetd[2078]: connect from 216.216.74.2

第五部查看程序的启动和关闭过程

[root@localhost t]# cat var/log/messages

用linux收集证据的一般程序

继续阅读

Apache (You don't have permission to access / on this server.）

debian9升级4.9.0内核到4.19.2内核过程

centOS7 配置 vsftpd 虚拟用户及权限Vsftpd配置虚拟用户及权限

linux-svn卸载与安装

vsftp虚拟多用户多权限一键部署脚本

Ubuntu14.04 LTS下安装mongodb

Nginx服务优化（1）——隐藏版本号、修改用户与组、网页缓存时间、日志切割、连接超时一、隐藏版本号二、修改用户与组三、配置Nginx网页缓存时间四、实现Nginx日志分割五、配置Nginx实现连接超时六、补充关于时间日期的命令

httpd服务的部署、启动、配置和简单优化一、部署二、启动三、配置文件

配置网页内容访问

手动安装Intel network I217-LM网卡的Linux驱动

禁止ubuntu系统弹出报错界面

Ubuntu Linux下Apache的配置文件

samba服务器的功能

【Linux】UDP广播报文接收速率问题

Linux设备模型（中）之上层容器

PowerPC平台 Linux移植三