linux系统取证

Posted -qing-

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux系统取证相关的知识,希望对你有一定的参考价值。

 

目录

0x00 查看系统信息

0x01 用户及组信息

0x02 防火墙及路由信息

0x03 查看网络、端口信息

0x04 系统运行信息查看

0x05 日志查看分析

 


 

 

 

 

0x00 查看系统信息

 


 

name-a #查看内核/操作系统/CPU

技术图片

 

head-n1/etc/issue #查看操作系统版本

 技术图片

 

cat/proc/cpuinfo #查看cpu信息

 技术图片

 

env #查看系统环境变量

技术图片

 


 

 

 

 

 

 

0x01 用户及组信息

 


w#查看活动用户

技术图片

 

cut-d:-f1/etc/passwd#查看系统所有用户

技术图片

 

cut-d:-f1/etc/group#查看系统所有组

技术图片

 


 

 

 

0x02 防火墙及路由信息


Iptables-L#查看防火墙信息

 

技术图片

 

route-n #查看路由信息

技术图片

 


 

 

 

 

 

 

0x03 查看网络、端口信息


netstat-an #查看开放端口

技术图片

 

ifconfig #查看网络接口信息

技术图片

 

netstat-lntp#查看所有监听端口

技术图片

 

netstat-antp #查看已建立的连接

技术图片

 


 

 

 

 

 

0x04 系统运行信息查看


cat/etc/crontab #系统cronr任务查看

技术图片

 

cd/var/spool/cron/crontabs #查看用户的cron任务

技术图片

 

ps-ef #查看所有进程

技术图片

 

netstat-s #查看网络统计信息进程

技术图片

 

top #实时显示进程的用户信息

技术图片

 


 

 

 

 

 

0x05 日志查看分析


Linux常用日志

/var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息

cat/var/log/boot.log

技术图片

 

 

/var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息

cat/var/log/lastlog

 

技术图片

 

 

/var/log/messages #记录Linux操作系统常见的系统和服务错误信息

cat/var/log/messages

 

技术图片

 

 

/var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况

cat/var/log/secure

 

技术图片

 

 

/var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址

cat/var/log/btmp

 

技术图片

 

 

/var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看

cat/var/log/syslog

 

技术图片

 

 

/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看

cat/var/log/wtmp

 

技术图片

/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件

cat/var/log/utmp

技术图片

 

 

 

应用服务日志:

Apache日志

/var/log/httpdapache2)/access.log # 其中包含Apache服务器的客户系统访问记录

/var/log/httpdapache2)/error.log # 其中包含Apache服务器的所有出错记录

以上是关于linux系统取证的主要内容,如果未能解决你的问题,请参考以下文章

linux系统取证

使用 Linux 工具进行计算机取证

取证分析Linux信息搜集

微软推出免费的Linux取证和Rootkit恶意软件检测服务

kali linux 2.0取证工具都有哪些

Kali linux:系统安装篇