我想学习更多关于法医分析的知识,我正在尝试应对以下挑战蜜网计划。我需要检查日志文件并找到远程连接到计算机的 IP。我dd制作了硬盘映像。我认为唯一正在运行的服务是apache。除了 Apache 的日志之外,我还应该检查哪些其他日志文件?它们位于哪里?
答案1
您可以使用命令 who 查看 /var/log/wtmp。这将显示谁登录了系统。我认为它显示了 IP,但并不完全确定。这当然仅适用于 *nix 机器。
编辑:重读帖子后,我怀疑您更想查看谁连接到了您的 Web 服务器的日志?我认为这不会显示任何此类信息,只会显示谁访问了 shell。
答案2
您没有说明您运行的是哪种系统,但我猜是最新的 Linux:/var/log 下有大量日志等待您检查。其他系统可能将它们放在其他地方。几乎所有这些都可能包含有用的连接信息。