linux系统取证

0x00 查看系统信息

name-a #查看内核/操作系统/CPU

head-n1/etc/issue #查看操作系统版本

cat/proc/cpuinfo #查看cpu信息

env #查看系统环境变量

0x01 用户及组信息

w#查看活动用户

cut-d:-f1/etc/passwd#查看系统所有用户

cut-d:-f1/etc/group#查看系统所有组

0x02 防火墙及路由信息

Iptables-L#查看防火墙信息

route-n #查看路由信息

0x03 查看网络、端口信息

netstat-an #查看开放端口

ifconfig #查看网络接口信息

netstat-lntp#查看所有监听端口

netstat-antp #查看已建立的连接

0x04 系统运行信息查看

cat/etc/crontab #系统cronr任务查看

cd/var/spool/cron/crontabs #查看用户的cron任务

ps-ef #查看所有进程

netstat-s #查看网络统计信息进程

top #实时显示进程的用户信息

0x05 日志查看分析

Linux常用日志

/var/log/boot.log #录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息

cat/var/log/boot.log

/var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息

cat/var/log/lastlog

/var/log/messages #记录Linux操作系统常见的系统和服务错误信息

cat/var/log/messages

/var/log/secure #Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况

cat/var/log/secure

/var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址

cat/var/log/btmp

/var/log/syslog #只记录警告信息，常常是系统出问题的信息，使用lastlog查看

cat/var/log/syslog

/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看

cat/var/log/wtmp

/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件

cat/var/log/utmp

应用服务日志：

Apache日志

/var/log/httpd（apache2）/access.log # 其中包含Apache服务器的客户系统访问记录

/var/log/httpd（apache2）/error.log # 其中包含Apache服务器的所有出错记录

原文地址：https://www.cnblogs.com/-qing-/p/10717545.html

时间： 2024-10-19 18:16:33

linux系统取证的相关文章

UNIX/Linux系统取证之信息采集案例

UNIX/Linux系统取证之信息采集案例在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,<Unix/Linux网络日志分析与流量监控>一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法.下面简单举几个例子. 1.收集正在运行的进程在UNIX/Linux取证时很多系统和网络信息是短时存在的可谓是转瞬即逝,如何准确的捕捉到哪些蛛丝马迹呢?网络安全人员需要具有敏锐的观察力和丰富的经验下面例举几个常用的方法. 首先,在收集主机上启动一个监听进程: #nc -l -p 10

Linux系统1.md

计算机介绍电子计算机(英语:computer),亦称电脑,是一种利用电子学原理,根据一系列指令对数据进行处理的工具. 在现代,机械计算机的应用已经完全被电子计算机所替换,其所相关的技术研究叫计算机科学,而"计算机技术"指的是将计算机科学的成果应用于工程实践所派生的诸多技术性和经验性成果的总合."计算机技术"与"计算机科学"是两个相关而又不同的概念,它们的不同在于前者偏重于实践而后者偏重于理论.此外,电子计算机亦被形象地称作电脑.至于由数据为核

查看Linux系统版本信息

一.查看Linux内核版本命令(两种方法): 1.cat /proc/version [[email protected]CentOS home]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 ([email protected]) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013 2.uname -a [

制作SD（8G）卡Linux镜像，使得ZC706开发板可以从SD卡启动进入Linux系统

转自网络,供学习记录使用,红色部分是我实验时,这篇文章和网站稍有出入的地方. 目的:制作SD(8G)卡Linux镜像,使得ZC706开发板可以从SD卡启动进入Linux系统在http://wiki.analog.com/resources/eval/user-guides/ad-fmcomms2-ebz/quickstart/zynq(姑且把这个链接成为链接1吧)链接中找到图1 点击绿色字体的链接,下载镜像原始文件.这里有不同时期的版本,本说明中选择图2 下载的原始文件为:2014_R2-

Linux系统基础.作业

要求以root用户登录系统,右击桌面打开终端,查看当前登陆Linux系统所使用的用户名查看哪些用户在系统上工作修改当前时间为2018年8月26号11:28 查看2015年10月份日历使用两种方法查看ls命令的使用说明清除屏幕 ctrl+L 使用"useradd tom"命令新建tom用户,为tom用户设置密码"123" 切换当前用户为tom 查看当前登陆Linux系统所使用的用户名

小白文科生眼中的Linux系统

我是一个正统的文科生,基本上在win的基础上长大,最开始接触的是Windows98(95虽然知道,但那时候太小了)然后是me,2000,再到XP,然后是vista,再然后就是使用量最大的7,然后是8,8.1,10,...基本上每个版本都用(玩)过,对win也可以说是有了基础的了解,13年暑假的时候,Android迅速崛起,从那个时候,刚刚知道Linux.在然后就开始疯狂的搜索Linux 的资料,那时候刚刚高中毕业,网上的资料基本都看不懂,虽然看不懂但还是找的津津有味. 记得2013年最先开始了解

老男孩教育每日一题-2017年5月11-基础知识点： linux系统中监听端口概念是什么?

1.题目老男孩教育每日一题-2017年5月11-基础知识点:linux系统中监听端口概念是什么? 2.参考答案监听端口的概念涉及到网络概念与TCP状态集转化概念,可能比较复杂不便理解,可以按照下图简单进行理解? 将整个服务器操作系统比喻作为一个别墅服务器上的每一个网卡比作是别墅中每间房间服务器网卡上配置的IP地址比喻作为房间中每个人而房间里面人的耳朵就好比是监听的端口当默认采用监听0.0.0.0地址时,表示房间中的每个人都竖起耳朵等待别墅外面的人呼唤当别墅外面的用户向房间1的人呼喊时

查看Linux系统的所有配置命令

查看Linux系统的所有配置命令 1.查看主板的序列号: dmidecode | grep -i 'serial number' 2.查看CPU信息: cat /proc/cpuinfo dmesg | grep -i 'cpu' dmidecode -t processor 3.查看内存信息: cat /proc/meminfo free -m vmstat 5.查看网卡信息: dmesg | grep -i 'eth' cat /etc/sysconfig/h

Linux系统下的shutdown命令用于安全的关闭/重启计算机

Linux系统下的shutdown命令用于安全的关闭/重启计算机,它不仅可以方便的实现定时关机,还可以由用户决定关机时的相关参数.在执行shutdown命令时,系统会给每个终端(用户)发送一条屏显,提示关机操作.定时关机只需要一个简单的参数,既可以是倒计时,也可以是确切的时间. 命令格式 1 shutdown [选项] [时间] [消息] 并有如下选项: - k 不执行任何关机操作,只发出警告信息给所有用户 - r 重新启动计算机 - h 关机并彻底断电 - f 快速关机且重启动时跳过fsck