前言:
当前各位老铁们对“linux查arp信息”都比较关心,看官们都需要剖析一些“linux查arp信息”的相关资讯。那么小编同时在网摘上收集了一些对于“linux查arp信息””的相关内容,希望你们能喜欢,咱们一起来了解一下吧!入侵取证操作指引
概念
入侵取证是指针对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软、硬件技术,按照符合法律规范的方式,进行认别、保存、分析和提交数字证据的过程。
入侵取证操作流Linux取证—查看进程日志
# cat /var/log/messages
为方便后期筛查,可以导出成文档,如下图操作:
Linux取证—查看服务日志
# cat /var/log/maillog
Linux取证—查看是否有新增用户
# less /etc/passwd
Linux取证—查看是否有特权用户
# grep :0 /etc/passwd
Linux取证—查看passwd文件最后修改时间
# ls -l /etc/passwd
Linux取证—查看进程
#ps -aux
查看某具体进程的打开的端口及文件#:lsof -p pid 如下图:
Linux取证—查看不正常端口
# netstat -nap
Linux取证—ARP记录是否正常
# arp -a
可检查ARP欺骗
Linux取证—检查特权用户
# find / -uid 0 -print
Linux取证—查看远程用户
# awk '/\$1|\$6/{print $1}' /etc/shadow
Linux取证—查看root用户定时任务
# crontab -u root -l
Linux取证—检查自启动
# chkconfig --list/systemctl list-units --type=service
入侵取证检查样例
(1)查看日志信息是否还存在或者是否被清空。
(2)查找系统是否包含隐藏账户
(3)查看机器最近成功登陆的事件和最后一次不成功的登陆事件。
(4)查看机器当前登录的全部用户。
(5)查询服务器异常流量。
(6)如数据库被入侵,查看数据库日志。顾数据库要在初始化开启日志功能
(7)查询异常进程所对应的执行脚本文件。
(8)检测系统中的文件是否被删除或者更改。
(9)可以安装服务器杀毒、IPS等软件工具。
(10)网站安全漏洞等其他方面。
版权说明:请尊重原创版权,版权归本人所有。
标签: #linux查arp信息 #linux删除arp