Linux取证与反取证之系统日志文件

最新推荐文章于 2024-06-03 16:35:19 发布
最新推荐文章于 2024-06-03 16:35:19 发布
阅读量442 收藏 6
点赞数 18
文章标签: linux 运维 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfzy_2024/article/details/137384154
版权

系统日志是Linux系统中最重要的日志记录类型之一,用于记录重要的系统活动和事件,如系统启动、关闭和用户登录,通常存储在/var/log目录下。

常见的系统日志文件有:
/var/log/messages
记录内核信息和各种应用程序日志,包括启动、IO错误、网络错误和应用程序自定义日志。

/var/log/audit/audit.log
记录系统内核、内核、用户进程的行为事件,是Linux安全体系的重要部分。比message记录更详细的信息,可以查看文件权限、监控系统调用、记录用户指令、记录系统安全事件、监控网络访问等。

/var/log/syslog
记录系统内核和系统服务的信息,包括各种事件通知或消息。

/var/log/secure
记录系统安全信息,只要涉及到需要账号密码的操作,不管成功与否都会记录。例如用户认证、sudo使用情况等。

/var/log/auth.log
Ubuntu系统中记录用户认证和授权信息,对标/var/log/secure文件。

/var/log/wtmp
记录每个用户登入登出、系统启动、关机等事件,该文件无法直接打开查看,可使用last命令查看文件信息。当用户登录时,登录程序会检查lastlog中用户的UID,如果存在,则将用户上次登录和注销时间以及主机名输出显示,同时在lastlog中记录新的登录时间和新的登录记录,并将用户的登录记录添加到wtmp中。

/var/run/utmp
记录当前登录的用户信息,文件不能直接打开查看,可通过命令w查看。
当用户退出时,更新 wtmp 记录。最后在 utmp 日志中删除该用户对应的登陆记录

/var/log/btmp
记录登录失败的用户信息、时间及远程ip,通过lastb命令查看内容。

/var/log/lastlog
记录最后一次登录的时间、IP等信息,用lastlog命令查看,会根据UID排序显示。

cfzy_2024
关注
  • 18
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux取证——查看用户登录日志
记录并分享学习安全的知识点..
10-20 5229
Linux查看用户登录日志
UNIX/Linux系统取证之信息采集案例
02-02
在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。在UNIX/Linux取证时很多系统和网络信息是短时存在的可谓是转瞬即逝,如何准确的捕捉到哪些蛛丝马迹呢?网络安全人员需要具有敏锐的观察力和丰富的经验下面例举几个常用的方法。首先,在收集主机上启动一个监听进程:执行完这条命令后回车,系统打开10005端口等待接受,然后在被调查的另一主机上运行相应的ps调用:几秒钟后回到命令行提示符,需要注意的是这两条命令成对出现,发送完数据后开启的端口接收数据接收完毕即关闭
Linux服务器取证研究,linux系统取证
weixin_29748637的博客
05-06 896
1、查看系统信息[root@server02~]#uname-a#查看内核Linuxserver023.10.0-957.el7.x86_64#1SMPThuNov823:39:32UTC2018x86_64x86_64x86_64GNU/Linux[root@server02~]#cat/etc/redhat-release#查看操作...
linux远程取证,linux系统取证
weixin_33256627的博客
05-09 377
linux系统取证目录0x00 查看系统信息0x01 用户及组信息0x02 防火墙及路由信息0x03 查看网络、端口信息0x04 系统运行信息查看0x05 日志查看分析0x00 查看系统信息name-a #查看内核/操作系统/CPU head-n1/etc/issue #查看操作系统版本 cat/proc/cpuinfo #查看cpu信息 env #查看系统环境变量 0x01 用户及组信息w#查看...
linux 日志 取证,Linux系统取证
weixin_32286661的博客
05-01 225
Linux系统取证1、查看系统信息name -a #查看内核/操作系统/CPU1.pnghead -n 1 /etc/issue #查看操作系统版本2.pngcat /proc/cpuinfo #查看cpu信息3.pngenv #查看系统环境变量4.png2、用户及组信息w #查看活动用户5.pngcut -d: -f1 /etc/passwd #查看系统所有用户6.pngcut -d: ...
linux取证
Tw0的博客
09-01 370
易丢失数据:系统时间,网络连接,端口信息,进程数据,当前登录用户 非易丢失数据:历史命令,系统日志,应用日志,计划任务,账户信息 本地登录以及通过ssh登录的账户信息和用户信息: more /etc/shadow>users.log (查看第一行) more /etc/shadow|cut -d :-f 1 网络连接:主机与外部的信息连接,提...
linux入侵取证
02-22
linux入侵取证
Linux 下的电子取证
朝歌
04-08 2970
           此篇文章我是根据信息安全铁人三项赛前培训视频和小组学习过后的经验所写。重现视频中的步骤吧。实验吧视频连接地址:      http://nuc.shiyanbar.com/course/80668/vid/2223     其中有些结论是根据老师同学的结论总结而来,具体原理有些不懂。将通过进一步学习,理解其原理。     电子取证百度百科上是这样说的:电子取证是指利用计算机软...
Linux取证之事后取证
NFMSR的博客
07-19 1202
事后取证:从Linux系统中搜索并提取恶意软件以及相关线索 1.从Linux系统中发现和提取恶意软件 前提: 熟悉Linux工作原理 ext2和ext3文件系统 取证检查: 检查文件的hash值和已知恶意软件特征是 否匹配 检查加壳文件 检查用户账号 检查其他配置信息 检查日志记录 搜索已知恶意软件方法: 哈希比较技术: NSRL等hash数据库 Rookit Hunter 和 ...
基于Chameleon聚类的Linux日志取证算法研究.pdf
09-06
基于Chameleon聚类的Linux日志取证算法研究.pdf
Linux环境下的计算机取证工具介绍.pdf
09-06
SMART for Linux 支持多种文件系统,包括 NTFS、FAT、HFS 等,同时也支持多种操作系统,包括 Windows、Linux 和 Mac OS 等。 计算机取证工具的使用非常广泛,包括法庭调查、计算机犯罪调查、数据恢复、企业信息安全...
利用系统登陆日志wtmp和btmp取证
03-04
利用python编写的一个获取linux操作系统登陆日志小程序。主要是用linux的shell语言,来获取系统的登陆日志。异常登陆选项是获取btmp日志
解决linux下删除文件或oracle表空间后空间不释放的问题
csdn6538954的博客
04-27 848
linux下删除文件或oracle表空间后,很多人会遇到linux空间不释放的问题,这个问题可以如下解决:[@more@]用root用户登陆执行命令: lsof | grep 你要删除的操作系统文件名就会看到类似如下信息:or...
linux 监听日志_Linux系统取证概述
weixin_39614109的博客
01-16 175
0x01 查看系统信息name -a检查内核、操作系统、CPUhead -n 1 /etc/issue检查操作系统cat /proc/cpuinfo检查cpuenv检查系统环境变量0x02 用户及组信息w检查有效用户cut -d: -f1 /etc/passwd检查系统所有用户cut -d: -f1 /etc/group检查系统所有组0x03 防火墙及路由信息Iptables -L检查...
RHCE (Linux进阶) Ubuntu 操作系统安装教程
2302_76161836的博客
06-02 436
学会安装ubuntu操作系统
linux】无root权限下载7z解压软件并安装到指定路径
最新发布
weixin_44502754的博客
06-03 461
linux】无root权限下载7z解压软件并安装到指定路径
Linux--EXT2文件系统
atregret的博客
05-31 216
组描述块的起始位置(块号),是不定的,由超级块的 (s_first_data_blcok+1)确定。==》 引导块 | 超级块 | 组描述块 | 保留 | 块位图 | 索引节点位图 | 数据块。如果块大小4096,则引导块和超级块是0(只占了半个块,剩下的部分补0),组描述块是1。如果块大小2048,则引导块和超级块是0(正好占满一个块),组描述块是1。其中引导块与超级块,大小都为1024字节 (与块大小2048无关)如果块大小1024,则引导块是0,超级块是1,组描述块是2。
linux内存取证例题
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动记录:查看内存中的历史活动记录,比如命令历史和登录记录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值