前言
应急响应一般是发现服务器被入侵、个人重要信息被窃取、系统拒绝服务、网络流量异常等各种意外事件。
本文主要讲一下linux应急响应中的一下常用方法,仅代表个人观点
应急响应
日志文件分析
系统日志:message、secure、cron、mail等系统日志
/var/log/secure,/ar/log/wtmp,var/log/message:jihu
**/var/log/secure**:记录登录系统存取数据的文件,例如pop3,ssh,telnet,ftp等都会记录在此 .
**/ar/log/wtmp**:记录登录这的信息记录,被编码过,所以必须以last解析;
/var/log/message:jihu所有的开机系统发生的错误都会在此记录;
/var/log.boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;
/var/log/maillog:记录邮件的存取和往来;
/var/log/cron:用来记录crontab这个服务的内容;
/var/log/httpd,
/var/log/mysqld.log
**/var/run/utmp** 记录着现在登录的用户;
/var/log/lastlog 记录每个用户最后的登录信息;
/var/log/btmp 记录错误的登录尝试;
/var/log/syslog 事件记录监控程序日志;
/var/log/auth.log 用户认证日志;
/var/log/daemon.log 系统进程日志;