用linux收集证据的一般程序
2008-01-15 22:52
267 查看
在redhat linux家族系列上
第一步确定系统:cat /etc/redhat-release
Red Hat Enterprise Linux AS release 4 (Nahant Update 4)
第二步确定主机的名称和IP以及其他网络设置
[root@localhost t]# cat etc/hosts
127.0.0.1 apollo.honeyp.edu apollo localhost.localdomain localhost
[root@localhost t]#
[root@localhost t]# cat etc/sysconfig/network
NETWORKING=yes
HOSTNAME=apollo.honeyp.edu
GATEWAY=172.16.1.254
DEVICE=eth0
BOOTPROTO=static
BROADCAST=172.16.1.255
IPADDR=172.16.1.107
NETMASK=255.255.255.0
NETWORK=172.16.1.0
ONBOOT=yes
第三步查看系统上谁曾经登陆过用的命令是
[root@localhost t]# last -f var/log/wtmp
root tty1 Thu Nov 9 10:37 gone - no logout
wtmp begins Wed Nov 8 22:59:52 2000
[root@localhost t]#
这里已经被入侵内者给清除痕迹了。
第四步查看谁曾经登陆过和从哪里过来的
[root@localhost t]# cat var/log/secure
Nov 5 10:54:49 apollo in.telnetd[680]: connect from 207.239.115.11
Nov 6 02:59:23 apollo in.ftpd[973]: connect from 128.121.247.126
Nov 8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2
Nov 8 00:08:40 apollo in.telnetd[2078]: connect from 216.216.74.2
[root@localhost t]#
第五部查看程序的启动和关闭过程
[root@localhost t]# cat var/log/messages
第一步确定系统:cat /etc/redhat-release
Red Hat Enterprise Linux AS release 4 (Nahant Update 4)
第二步确定主机的名称和IP以及其他网络设置
[root@localhost t]# cat etc/hosts
127.0.0.1 apollo.honeyp.edu apollo localhost.localdomain localhost
[root@localhost t]#
[root@localhost t]# cat etc/sysconfig/network
NETWORKING=yes
HOSTNAME=apollo.honeyp.edu
GATEWAY=172.16.1.254
DEVICE=eth0
BOOTPROTO=static
BROADCAST=172.16.1.255
IPADDR=172.16.1.107
NETMASK=255.255.255.0
NETWORK=172.16.1.0
ONBOOT=yes
第三步查看系统上谁曾经登陆过用的命令是
[root@localhost t]# last -f var/log/wtmp
root tty1 Thu Nov 9 10:37 gone - no logout
wtmp begins Wed Nov 8 22:59:52 2000
[root@localhost t]#
这里已经被入侵内者给清除痕迹了。
第四步查看谁曾经登陆过和从哪里过来的
[root@localhost t]# cat var/log/secure
Nov 5 10:54:49 apollo in.telnetd[680]: connect from 207.239.115.11
Nov 6 02:59:23 apollo in.ftpd[973]: connect from 128.121.247.126
Nov 8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2
Nov 8 00:08:40 apollo in.telnetd[2078]: connect from 216.216.74.2
[root@localhost t]#
第五部查看程序的启动和关闭过程
[root@localhost t]# cat var/log/messages
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 为什么linux的TTY登录程序getty/agetty一般都会设置一个-L的option?
- linux网络编程之socket(二):C/S程序的一般流程和基本socket函数
- Java程序练习-F-收集证据
- Linux系统下,如何将运行程序的用户从root转到一般用户?
- linux的service与一般的程序的区别
- 在linux下面使用mtrace来检查一般程序的内存溢出
- linux下一般程序运行时查找动态库的顺序
- Linux程序可以编译连接但是执行时找不到*.so 一般都和LD_LIBRARY_PATH有关
- linux下一般程序运行时查找动态库的顺序
- linux下一般程序运行时查找动态库的顺序
- [ARM] [linux master] 调试技术002 在linux下面使用mtrace来检查一般程序的内存溢出
- linux网络编程之socket(二):C/S程序的一般流程和基本socket函数
- linux下一般程序运行时查找动态库的顺序
- linux下一般程序运行时查找动态库的顺序
- # include <errno.h >查看错误代码errno是调试程序的一个重要方法。当Linux C API函数发生异常时,一般会将errno变量赋值一个整数,不同的值表示不同的含义,可以通过查看
- linux的nohup命令的用法。在应用Unix/Linux时,我们一般想让某个程序在后台运行,于是我们将常会用 & 在程序结尾来让程序自动运行。比如我们要运行mysql在后台: /usr/local
- 在linux下面使用mtrace来检查一般程序的内存溢出
- Linux 下面使用 mtrace 来检查一般的程序的内存溢出
- 在linux下面使用mtrace来检查一般程序的内存溢出
- Linux安装AUTOCONF和AUTOMAKE产生的程序的一般步骤