Linux系统入侵痕迹分析取证

最新推荐文章于 2024-05-09 12:25:17 发布
最新推荐文章于 2024-05-09 12:25:17 发布
阅读量8.4k 收藏 36
点赞数 5
分类专栏: Linux 文章标签: linux 取证 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012468841/article/details/68976045
版权

获取基本信息

向服务器运维人员询问,系统的基本配置,安装的发行版本,建立和使用的账户,
所在网络拓扑的位置、网络配置情况,及其所承载的服务。

系统信息

[root@localhost ~]# uname -a
- 省略......
[root@localhost ~]# lsb_version -a
- 省略......
[root@localhost ~]# head -n 1 /etc/issue
- 省略......

用户及组

[root@localhost ~]# cut -d: -f1 /etc/passwd
- 省略......
[root@localhost ~]# cut -d: -f1 /etc/group
- 省略......

防火墙及路由

[root@localhost ~]# iptables -L
- 省略......
[root@localhost ~]# route -n
- 省略......

获取网络信息

网络接口

[root@localhost ~]# ifconfig -a

开放端口

[root@localhost ~]# netstat -tanp
[root@localhost ~]# ss -tanp

系统运行状态

计划任务

系统cron任务

检查 /etc/crontab 有无存在异常项

[root@localhost ~]# cat /etc/crontab

用户cron任务

检查各用户cron任务
每个用户都有专用的cron任务文件:/var/spool/cron/USERNAME

进程和服务

ps

使用 ps 命令查看当前运行的进程列表
  • PS常用组合
    • ps aux
      • a 与终端相关的进程
      • u 以用户为中心组织进程状态信息显示
      • x 与终端无光的进程
    • ps -ef
      • e 显示所有进程
      • f 显示完整格式程序信息
    • ps -eFH
      • e 显示所有进程
      • F 显示完整格式的进程信息
      • H 以进程层级格式显示进程相关信息

top、htop

使用 top 或 htop 命令用来显示系统中正在运行的进程的实时状态CPU 利用情
况、内存消耗情况,以及每个进程情况

启动服务

使用 chkconfig 或 systemctl 命令列出所有启动的系统服务 程序

日志分析

登录日志

二进制日志文件 [登录]

1. 最近一次登录日志
[ /var/log/lastlog ] # 最近一次用户登录的时间记录

2. 用户登录日志
[ /var/log/wtmp ]
[root@localhost ~]# last 
- 或
[root@localhost ~]# last -f <filename> # 指定输入文件

应用日志

1. Apache服务器日志

/var/log/httpd/access.log # 其中包含Apache服务器的客户系统访问记录

/var/log/httpd/error.log # 其中包含Apache服务器的所有出错记录

2. CUPS打印系统日志

CUPS [ Common Unix Printing System ] 通用UNIX打印系统

/var/log/cups/access_log # 访问日志文件,其中记录了打印机的设置情
况,提交的打印作业,以及打印作业的状态记录等信息

/var/log/cups/error_log # 默认的日志文件,存储各种错误信息

3. Samba 服务器日志

> [目录] /var/log/samba
[root@localhost ~]# ls /var/log/samba
> log.smbd # 其中包含Samba服务器启动以及SMB/CIFS文件与打印共享方面的信息
> log.nmbd # 其中包含基于IP协议的NETBIOS网络通信方面的信息
> log.sysname # 用于记录特定客户系统的服务请求信息,文件名中的sysname是客户系统的主机名,如 log.winxp

4. 其他日志

/var/log/xferlog # 用于记录FTP服务器的文件传输日志信息
/var/log/mysqld.log # 用于记录MySQL数据库服务器的日志信息
/var/log/yum.log # 用于记录利用yum安装、删除或更新软件的日志信息

系统日志

1. 系统内核环形缓冲区

/var/log/dmesg 日志文件,重现系统引导过程中控制台的输出信息。如果在引
导过程中出现问题,系统内核引导信息有助于诊断问题,分析产生问题的原因

[root@localhost ~]# dmesg | less

2. 系统消息日志

/var/log/messages 是系统信息的集中存储位置,除了专门的日志文件之外,
其中记录了大部分系统进程、使用程序甚至应用程序输出的日志信息。

3. 安全审计日志

/var/log/audit/audit.log 用于记录系统安全审计信息,尤其是SELinux安全审计信息

3. 安全认证日志

/var/log/secure 用于记录系统安全认证信息,包含验证和授权方面信息,尤
其是sshd会将所有信息记录[其中包括失败登录]在这里信息

/var/log/auth.log 同上
H&K Ein
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hit:Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response)
05-24
Hit Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response) by Zing
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1201
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
Linux系统入侵排查(一)
最新发布
weixin_72543266的博客
05-09 973
对我处在学生时期的我来说,目前web渗透还是为主,但是还是需要对于蓝队相关的应急响应,等保测评等还是需要有一定的了解的,攻防兼备才能越站越勇嘛,linux入侵排查也能够让我更加熟悉liunx命令,对liunx入侵排查做一次总结和复习.
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 2279
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
Volatility3内存取证工具安装及入门在Linux下的安装教程
Geek极安云科-致力于网络安全事业
12-11 3709
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
linux取证之内存取证
NFMSR的博客
07-19 2810
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1350
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
计算机使用痕迹分析取证系统
05-14
计算机使用痕迹分析取证系统 计算机使用痕迹分析取证系统是一个基于静态视点的系统,以保证计算机取证的客观性、合法性、关联性和有效性。本系统利用 C/ C++ 技术实现,通过对操作系统提供的编程接口、注册表等...
linux入侵取证
02-22
linux入侵取证
LINUX系统下的计算机取证技术研究.pdf
09-06
"LINUX系统下的计算机取证技术研究" 计算机取证技术是指在计算机系统中收集、分析和恢复电子证据的过程。随着计算机技术的发展,计算机犯罪案件也日益增加,计算机取证技术因此变得越来越重要。 在LINUX系统下,...
linux系统入侵排查
03-29
描述了ddos,ssh爆破,挖坑,勒索病毒在Linux上的入侵排查思路以及方法
UNIX/Linux系统取证之信息采集案例
02-02
在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。在UNIX/Linux取证时很多系统和...
内存取证之Volatility ——合天网安实验室学习笔记
weixin_42582241的博客
03-13 5911
实验链接 Volatility是一款顶级的开源内存取证分析工具,支持Windows,Linux,MaC,Android等系统的内存取证,它由Python编写成,通过本实验学习内存取证的思想与方法,掌握volatility的使用。 链接:http://www.hetianlab.com/expc.do?ce=aeca012d-d9b1-4706-b761-d0240089d7c5 实验简介 实验所属...
linux下内存取证,Linux下内存取证工具Volatility的使用
weixin_29358053的博客
05-11 253
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
linux内存镜像取证,Linux下内存取证工具Volatility的使用
weixin_42361070的博客
05-03 707
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
浅析内存取证
Lemon's blog
10-16 8294
前言: MISC经常遇到取证分析的,而且在实战中系统取证也是非常重要的,利用这段时间学习一下。 什么是活取证 在主机存活时发现系统入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程的中的信息。 主要工作便是 抓取文件metadata 创建时间线 命令历史 分析日志文件 哈希摘要 转存内存信息等 什么是死取证 对机器的磁盘做镜像之后进行分析,在关机后制作硬盘镜像,分析镜像(MBR硬盘分区,GPT全局分区表,LVM逻辑卷)是否存在病毒,木马等恶意程序。 不管是那种取证方式
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 248
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
linux入侵系统日志分析
runus
10-23 987
记录重要的系统事件是系统安全的一个重要因素。多数U N I X 系统能够运行三个不同的日志子系统:使用wtmp / utmp 文件的连接时间日志;使用acct 或pacct 文件的进程统计;经过syslog 实施的错误日志。本章讲述了这些日志子系统以及允许系统或安全管理员监测、审计和维护日志的命令和程序。还讲述了几个额外的工具,从帮助查找侵入者的Zap 到标准UNIX syslog 的一个安全...
记录朋友博客被入侵的日志分析溯源过程
DYBOY-程序开发&网络安全
04-23 3041
   一朋友妖少,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。   从收到他的消息,具体了解到,他发现这个情况是在13号晚上10点左右,然而他14号下午才发我...  然后让他把网站日志发我,然而等到了17号才发我...  emmm~然后,我现在才来分析    由于我拿到的日志是.log文件,只是简单记录了IP 时间...
linux内存取证例题
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动记录:查看内存中的历史活动记录,比如命令历史和登录记录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值