入侵后我应该检查哪些日志?

入侵后我应该检查哪些日志?

我问过同样的问题superuser,但没能成功。我想了解更多关于法医分析的知识,我正在做以下挑战蜜网计划。我需要检查日志文件并查看远程连接到计算机的 IP。我有dd硬盘驱动器的映像,唯一正在运行的服务是apache。除了 Apache 的日志之外,我还应该查看哪些其他日志文件,以查看谁连接到了计算机?我只对远程连接感兴趣。至于 Linux 系统,我们可以将其视为通用系统,具有 2.4 内核。

答案1

一切。auth、syslog、消息、.bash_history、last、utmp、wtmp、cron 日志、/tmp。这只是一个开始,因为具有 root 权限的攻击者可以改变任何东西(并且可能确实改变了),所以您必须找到一个被遗忘的地方。

答案2

我同意新冰和巴特。

另外,也许可以检查是否安装了任何文件更改监控工具(或 rootkit 监控工具)(示例包括但不限于:samhain、tripwire、rthunter)。samhain/tripwire可以为您提供修改文件列表和 rootkit 猎人可以不仅向您显示可疑的 rootkit,还显示其他有问题的区域。实际上,您甚至可能希望在 chroot 到该磁盘映像中运行 rootkit 猎人...

相关内容