Какие журналы я должен проверить после взлома?
Я задал этот же вопрос на superuser но у меня не было такого большого успеха. Я хотел бы узнать больше о криминалистическом анализе, и я решаю задачи проекта Honeynet. Мне нужно проверить файлы журналов и увидеть IP-адреса, которые подключены к компьютеру удаленно. у меня есть dd образ жесткого диска, и единственная служба, которая была запущена, была apache, Помимо журналов Apache, какие еще файлы журналов мне нужно посмотреть, чтобы узнать, кто подключен к компьютеру? Меня интересуют только удаленные подключения. Что касается системы Linux, мы можем считать ее общей с ядром 2.4.
2 ответа
Все . auth, syslog, messages, .bash_history, last, utmp, wtmp, cron logs, /tmp. На самом деле это только начало, потому что злоумышленник с правами root может изменить что-либо (и, вероятно, сделал), поэтому вам нужно найти место, которое было забыто.
Я согласен с Нойс и Бартом.
Также, возможно, проверьте, был ли установлен какой-либо инструмент мониторинга изменений файлов (или инструмент мониторинга руткитов) (примеры включают, но не ограничиваются: samhain, tripwire, rthunter). samhain/tripwire может предоставить вам список измененных файлов, а средство поиска руткитов может показать не только подозреваемые руткиты, но и другие проблемные области. На самом деле, вы даже можете запустить свой руткит-охотник в chroot к этому образу диска...