Linux系统取证
1、查看系统信息
name -a #查看内核/操作系统/CPU
1.pnghead -n 1 /etc/issue #查看操作系统版本
2.pngcat /proc/cpuinfo #查看cpu信息
3.pngenv #查看系统环境变量
4.png2、用户及组信息
w #查看活动用户
5.png
cut -d: -f1 /etc/passwd #查看系统所有用户
6.pngcut -d: -f1 /etc/group #查看系统所有组
7.png
3、防火墙及路由信息
Iptables -L #查看防火墙信息
8.png
route -n #查看路由信息
9.png4、查看网络、端口信息
netstat -an #查看开放端口
10.pngifconfig #查看网络接口信息
11.pngnetstat -lntp #查看所有监听端口
12.pngnetstat -antp #查看已建立的连接
13.png4、系统运行信息查看
cat /etc/crontab #系统cronr任务查看
14.pngcd /var/spool/cron/crontabs #查看用户的cron任务
15.png
ps -ef #查看所有进程
16.pngnetstat -s #查看网络统计信息进程
17.pngtop #实时显示进程的用户信息
18.png5、日志查看分析
Linux常用日志
/var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
cat /var/log/boot.log
19.png/var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息
cat /var/log/lastlog
20.png/var/log/messages #记录Linux操作系统常见的系统和服务错误信息
cat /var/log/messages
21.png/var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况
cat /var/log/secure
22.png/var/log/btmp #记录Linux登陆失败的用户、时间以及远程IP地址
cat /var/log/btmp
23.png
/var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看
cat /var/log/syslog
24.png/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看
cat /var/log/wtmp
25.png/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件
cat /var/log/utmp
26.png
应用服务日志:
Apache日志
/var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录
/var/log/httpd(apache2)/error.log # 其中包含Apache服务器的所有出错记录
1.jpg
网友评论