Linux系统取证

Linux系统取证

1、查看系统信息

name -a #查看内核/操作系统/CPU

1.png

head -n 1 /etc/issue #查看操作系统版本

2.png

cat /proc/cpuinfo #查看cpu信息

3.png

env #查看系统环境变量

4.png

2、用户及组信息

w #查看活动用户

5.png

cut -d: -f1 /etc/passwd #查看系统所有用户

6.png

cut -d: -f1 /etc/group #查看系统所有组

7.png

3、防火墙及路由信息

Iptables -L #查看防火墙信息

8.png

route -n #查看路由信息

9.png

4、查看网络、端口信息

netstat -an #查看开放端口

10.png

ifconfig #查看网络接口信息

11.png

netstat -lntp #查看所有监听端口

12.png

netstat -antp #查看已建立的连接

13.png

4、系统运行信息查看

cat /etc/crontab #系统cronr任务查看

14.png

cd /var/spool/cron/crontabs #查看用户的cron任务

15.png

ps -ef #查看所有进程

16.png

netstat -s #查看网络统计信息进程

17.png

top #实时显示进程的用户信息

18.png

5、日志查看分析

Linux常用日志

/var/log/boot.log #录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息

cat /var/log/boot.log

19.png

/var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息

cat /var/log/lastlog

20.png

/var/log/messages #记录Linux操作系统常见的系统和服务错误信息

cat /var/log/messages

21.png

/var/log/secure #Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况

cat /var/log/secure

22.png

/var/log/btmp #记录Linux登陆失败的用户、时间以及远程IP地址

cat /var/log/btmp

23.png

/var/log/syslog #只记录警告信息，常常是系统出问题的信息，使用lastlog查看

cat /var/log/syslog

24.png

/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看

cat /var/log/wtmp

25.png

/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件

cat /var/log/utmp

26.png

应用服务日志：

Apache日志

/var/log/httpd（apache2）/access.log # 其中包含Apache服务器的客户系统访问记录

/var/log/httpd（apache2）/error.log # 其中包含Apache服务器的所有出错记录

1.jpg