Linux系統(tǒng)取證
1雹锣、查看系統(tǒng)信息
name -a #查看內(nèi)核/操作系統(tǒng)/CPU
head -n 1 /etc/issue #查看操作系統(tǒng)版本
cat /proc/cpuinfo #查看cpu信息
env #查看系統(tǒng)環(huán)境變量
2、用戶及組信息
w #查看活動用戶
cut -d: -f1 /etc/passwd #查看系統(tǒng)所有用戶
cut -d: -f1 /etc/group #查看系統(tǒng)所有組
3误趴、防火墻及路由信息
Iptables -L #查看防火墻信息
route -n #查看路由信息
4获雕、查看網(wǎng)絡(luò)膘螟、端口信息
netstat -an #查看開放端口
ifconfig #查看網(wǎng)絡(luò)接口信息
netstat -lntp #查看所有監(jiān)聽端口
netstat -antp #查看已建立的連接
4梧宫、系統(tǒng)運行信息查看
cat /etc/crontab #系統(tǒng)cronr任務(wù)查看
cd /var/spool/cron/crontabs #查看用戶的cron任務(wù)
ps -ef #查看所有進程
netstat -s #查看網(wǎng)絡(luò)統(tǒng)計信息進程
top #實時顯示進程的用戶信息
5候衍、日志查看分析
Linux常用日志
/var/log/boot.log #錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件桥滨,就是Linux系統(tǒng)開機自檢過程顯示的信息
cat /var/log/boot.log
/var/log/lastlog #記錄最后一次用戶成功登陸的時間窝爪、登陸IP等信息
cat /var/log/lastlog
/var/log/messages #記錄Linux操作系統(tǒng)常見的系統(tǒng)和服務(wù)錯誤信息
cat /var/log/messages
/var/log/secure #Linux系統(tǒng)安全日志,記錄用戶和工作組變壞情況齐媒、用戶登陸認證情況
cat /var/log/secure
/var/log/btmp #記錄Linux登陸失敗的用戶蒲每、時間以及遠程IP地址
cat /var/log/btmp
/var/log/syslog #只記錄警告信息,常常是系統(tǒng)出問題的信息喻括,使用lastlog查看
cat /var/log/syslog
/var/log/wtmp #該日志文件永久記錄每個用戶登錄邀杏、注銷及系統(tǒng)的啟動、停機的事件唬血,使用last命令查看
cat /var/log/wtmp
/var/run/utmp #該日志文件記錄有關(guān)當前登錄的每個用戶的信息望蜡。如 who、w拷恨、users脖律、finger等就需要訪問這個文件
cat /var/log/utmp
應(yīng)用服務(wù)日志:
Apache日志
/var/log/httpd(apache2)/access.log # 其中包含Apache服務(wù)器的客戶系統(tǒng)訪問記錄
/var/log/httpd(apache2)/error.log # 其中包含Apache服務(wù)器的所有出錯記錄
