向伺服器運維人員詢問,系統的基本配置,安裝的發行版本,建立和使用的賬戶,
所在網路拓撲的位置、網路配置情況,及其所承載的服務。
[root@localhost ~]# uname -a
- 省略......
[root@localhost ~]# lsb_version -a
- 省略......
[root@localhost ~]# head -n 1 /etc/issue
- 省略......
[root@localhost ~]# cut -d: -f1 /etc/passwd
- 省略......
[root@localhost ~]# cut -d: -f1 /etc/group
- 省略......
[root@localhost ~]# iptables -l
- 省略......
[root@localhost ~]# route -n
- 省略......
[root@localhost ~]# ifconfig -a[root@localhost ~]# netstat -tanp
[root@localhost ~]# ss -tanp
檢查 /etc/crontab 有無存在異常項[root@localhost ~]# cat /etc/crontab檢查各使用者cron任務
每個使用者都有專用的cron任務檔案:/var/spool/cron/username
使用 ps 命令檢視當前執行的程序列表ps -ef
ps -efh
top、htop
使用 top 或 htop 命令用來顯示系統中正在執行的程序的實時狀態cpu 利用情
況、記憶體消耗情況,以及每個程序情況
使用 chkconfig 或 systemctl 命令列出所有啟動的系統服務 程式1. 最近一次登入日誌
[ /var/log/lastlog ] # 最近一次使用者登入的時間記錄
2. 使用者登入日誌
[ /var/log/wtmp ]
[root@localhost ~]# last
- 或[root@localhost ~]# last -f # 指定輸入檔案
/var/log/httpd/access.log # 其中包含apache伺服器的客戶系統訪問記錄
/var/log/httpd/error.log # 其中包含apache伺服器的所有出錯記錄
cups [ common unix printing system ] 通用unix列印系統
/var/log/cups/access_log # 訪問日誌檔案,其中記錄了印表機的設定情
況,提交的列印作業,以及列印作業的狀態記錄等資訊
/var/log/cups/error_log # 預設的日誌檔案,儲存各種錯誤資訊
> [目錄] /var/log/samba
[root@localhost ~]# ls /var/log/samba
> log.smbd # 其中包含samba伺服器啟動以及smb/cifs檔案與列印共享方面的資訊
> log.nmbd # 其中包含基於ip協議的netbios網路通訊方面的資訊
> log.sysname # 用於記錄特定客戶系統的服務請求資訊,檔名中的sysname是客戶系統的主機名,如 log.winxp
/var/log/xferlog # 用於記錄ftp伺服器的檔案傳輸日誌資訊
/var/log/mysqld.log # 用於記錄mysql資料庫伺服器的日誌資訊
/var/log/yum.log # 用於記錄利用yum安裝、刪除或更新軟體的日誌資訊
/var/log/dmesg 日誌檔案,重現系統引導過程中控制台的輸出資訊。如果在引
導過程中出現問題,系統核心引導資訊有助於診斷問題,分析產生問題的原因
[root@localhost ~]# dmesg | less2. 系統訊息日誌
/var/log/messages 是系統資訊的集中儲存位置,除了專門的日誌檔案之外,
其中記錄了大部分系統程序、使用程式甚至應用程式輸出的日誌資訊。
/var/log/audit/audit.log 用於記錄系統安全審計資訊,尤其是selinux安全審計資訊/var/log/secure 用於記錄系統安全認證資訊,包含驗證和授權方面資訊,尤
其是sshd會將所有資訊記錄[其中包括失敗登入]在這裡資訊
/var/log/auth.log 同上
Linux 入侵痕跡清理技巧
vim bash history 編輯history記錄檔案,刪除部分不想被儲存的歷史命令 history c 清除當前使用者的history命令記錄 histsize 0 通過修改配置檔案 etc profile,使系統不再儲存命令記錄 var log btmp 記錄所有登入失敗資訊,使用last...
實戰學習 電子資料取證專題 磁碟檔案分析取證
windows硬碟檔案分析取證 登陸使用者的使用者名稱 背景介紹 犯罪嫌疑人在使用電腦時,登入過www.laifudao.com這個 分析硬碟檔案並找到登入這個 的使用者名稱。實訓目標 1 了解accessdata ftk imager使用方法 2 了解xp儲存的 使用者存放在什麼檔案裡 windo...
linux中如何清除入侵痕跡?
1 清除登入日誌 echo var log wtmp2 清除登入失敗日誌 echo var log btmp3 清除安全日誌 echo var log secure4 去除last login回顯資訊,將以下行注釋掉重啟 sshd服務 vi etc ssh sshd config printlast...