Я хотел бы узнать больше о криминалистическом анализе, и я пытаюсь справиться с задачами проекта Honeynet. Мне нужно проверить файлы журналов и найти IP-адреса, которые подключены к компьютеру удаленно. У меня есть dd сделал образ жесткого диска. Я думаю, что единственная служба, которая была запущена, была apache . Кроме логов Apache, какие еще файлы логов я должен проверить? Где они находятся?
2 ответа
2
Вы можете посмотреть /var /log /wtmp с помощью команды who. Это покажет вам, кто вошел в систему. Я думаю, что это показывает Ip, но не совсем уверен. Это, конечно, относится только к * nix машинам.
Изменить: После перечитывания поста я подозреваю, что вы искали больше для журнала, кто сделал подключения к вашему веб-серверу? Это не покажет вам ничего подобного, просто я думаю, кто получил доступ к оболочке.
1
Вы не указали, какую систему вы используете, но, как я полагаю, недавно появился Linux: в каталоге /var /log вас ожидает множество журналов. Другие системы могли поместить их в другое место. Почти все из них могут иметь полезную информацию о подключении.