[墨者学院] Linux硬盘文件分析取证(SSH过的IP)

最新推荐文章于 2022-11-23 19:02:07 发布
最新推荐文章于 2022-11-23 19:02:07 发布
阅读量384 收藏
点赞数
分类专栏: # 电子取证 文章标签: linux ssh 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czw2479/article/details/125047591
版权

给出百度云地址,下载附件

给出的是一个ssh1.img镜像

还是用AccessData FTK打开

File -> Add Evidence Item...,选择 Image File

选择我们的文件地址。Finish

我们要找的是ssh过的ip,那么首先要知道系统的日志是会记录在/var/log/messages的,

那么我们去看看这个文件

 

Nov  1 12:39:10 localhost auth.info sshd[3898]: Server listening on 0.0.0.0 port 22.
Nov  1 12:39:10 localhost auth.info sshd[3898]: Server listening on :: port 22.
Nov  1 12:39:10 localhost daemon.info init: starting pid 3904, tty '/dev/tty1': '/sbin/getty 38400 tty1'
Nov  1 12:39:10 localhost daemon.info init: starting pid 3905, tty '/dev/tty2': '/sbin/getty 38400 tty2'
Nov  1 12:39:10 localhost daemon.info init: starting pid 3908, tty '/dev/tty3': '/sbin/getty 38400 tty3'
Nov  1 12:39:10 localhost daemon.info init: starting pid 3911, tty '/dev/tty4': '/sbin/getty 38400 tty4'
Nov  1 12:39:10 localhost daemon.info init: starting pid 3914, tty '/dev/tty5': '/sbin/getty 38400 tty5'
Nov  1 12:39:10 localhost daemon.info init: starting pid 3917, tty '/dev/tty6': '/sbin/getty 38400 tty6'
Nov  1 12:39:15 localhost daemon.info chronyd[3841]: Selected source 203.107.6.88
Nov  1 12:39:15 localhost daemon.warn chronyd[3841]: System clock wrong by 1.947665 seconds, adjustment started
Nov  1 12:40:30 localhost daemon.info chronyd[3841]: Source 85.199.214.100 replaced with 193.228.143.13
Nov  1 12:40:31 localhost auth.info login[3921]: root login on 'tty1'
Nov  1 12:40:59 localhost auth.info sshd[3923]: Accepted password for root from 172.16.110.15 port 45466 ssh2

看到sshd服务最后一次密码认证的ip是来自172.16.110.15的,所以答案就是它了。

零溢出
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者 - Linux硬盘文件分析取证(SSH过的IP)
吃肉唐僧的博客
07-07 561
下载文件后,发现是img文件 img 1. img格式是镜像的一种。可以通过制作数据光盘或者使用虚拟光驱(如 WinMount,Deamon Tools 等)安装IMG数据文件。 2.img格式是制定css样式表的一种样式,对HTM中的图片属性进行修饰。 3.img格式是图片格式的一种,某些旧系统、游戏中照片是用IMG格式存储的,而且是多张照片在一起,Ventura Publisher...
在线靶场-墨者-电子数据取证1星-Linux硬盘文件分析取证(SSH过的IP)
WEB渗透测试 从入门到萌新
03-27 1693
1、加载 2、挂载 3、查看历史命令的文件 4、搜索
Linux硬盘文件分析取证-ssh1.img 题目
03-28
img 文件分析 解析 https://blog.csdn.net/m0_58199719/article/details/123780679
Linux硬盘文件分析取证(SSH过的IP)
cc_de_csdn的博客
08-27 478
1.如题:文件中找到ssh过的IP 2.下载文件,使用AccessDataFTKImager挂载 3.通过资料得知linux系统日志存放地址是在/root/var/log/messages 4.在messages中查找,使用ctrl+f快速查找ssh,发现: Nov 1 12:40:59 localhost auth.info sshd[3923]: Accepted password fo...
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
spring IOC实现(墨者革离)
12-12
该代码主要用于spring IOC的实现(墨者革离),模拟一个城门叩问的编剧场景
墨者未必黑.pdf
12-26
墨者未必黑.pdf
墨者安全专家 v3.7.2.9
03-12
及时清理上网历史记录、网银注册信息、系统临时文件及cookies等,全面保护个人隐私,防范由此带来的安全威胁。 5、墨者防火墙 快速评估系统的网络防护状态,通过配置病毒防火墙,控制非法网络访问,帮助用户有效抵御...
墨者安全专家 3.7(更新)
11-03
1、墨者革离术 运用了墨者研发的新技术,结合权限管理的功能,有效防止防火墙和杀毒软件尚未识别的安全危险入侵,并在病毒库反应前把系统与安全隐患完全隔离,有效防止木马盗号等。 2、墨者查杀病毒 兼容主流杀毒...
【实战学习】电子数据取证专题——磁盘文件分析取证
mozhe_的博客
04-10 2980
Windows硬盘文件分析取证(登陆用户的用户名) 背景介绍 犯罪嫌疑人在使用电脑时,登录过www.laifudao.com这个网站,分析硬盘文件并找到登录这个网站的用户名。 实训目标 1、了解AccessData FTK Imager使用方法; 2、了解XP保存的网站用户存放在什么文件里; 靶场地址:https://www.mozhe.cn/bug/detail/194 Windo...
Linux硬盘镜像获取与还原(dd、AccessData FTK Imager)
weixin_30530939的博客
05-26 2232
1、硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。 1.1 本地取数据 查看磁盘及分区 # fdisk -l 获取整个磁盘镜像文件 # dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间) 1.2 远程取硬盘数据· 克隆硬盘或分区的操作,不应在已经moun...
[墨者学院] Windows硬盘文件分析取证(新建的用户名)
0of_blog
05-30 1651
题目 题解 他给了一个百度云链接,下载解压后是一个E01文件 先看一眼文件格式 在这里,我们使用accessDate这个工具挂载image 挂载到文件系统,进入E盘,先把隐藏的项目勾上 然后就能看到隐藏的Application Data了 看到用户头像,有那么几个 lihua是一只都存在的,Users目录就看到了lihua这个目录,应该是使用过。而没有momo目录,说明应该是新建的。 最后答案就是momo了 ...
Linux系统入侵痕迹分析取证
留记
08-28 8392
获取基本信息 服务器配置 系统版本 计划任务 所有账户 获取网络信息 网络接口 [root@localhost ~]# ifconfig -a 开放端口 [root@localhost ~]# netstat -tanp [root@localhost ~]# ss -tanp 获取系统信息
Linux 系统取证
YT的博客
04-24 3116
初始响应阶段应该收集的数据: 系统日期和时间 当前登录的用户清单 整个文件系统的时间/日期戳 当前正在运行的进程列表 当前打开的套接字列表 在打开的套接字上监听的应用程序列表 当前或最近连接到系统的系统列表 易失性数据收集: 首先需要上传取证人员自己可信任的 shell 记录系统的日期和时间: date 记录网卡信息,包括网络地址和状态等: ifconfig -a 查看系统每...
墨者学院_Linux硬盘文件分析取证(恢复文件)
ierciyuan的博客
09-05 966
墨者学院_Linux硬盘文件分析取证(恢复文件)
墨者学院靶场Linux硬盘文件分析取证(恢复文件)
gududeajun的博客
11-23 348
某犯罪人员将重要数据放在电脑硬盘中,但我们拿到硬盘时,里面的内容已经被删除,你能恢复出来吗?
解决linux下删除文件或oracle表空间后空间不释放的问题
csdn6538954的博客
04-27 843
linux下删除文件或oracle表空间后,很多人会遇到linux空间不释放的问题,这个问题可以如下解决:[@more@]用root用户登陆执行命令: lsof | grep 你要删除的操作系统文件名就会看到类似如下信息:or...
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
最新发布
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值