龙空技术网

入侵取证操作指引

信安卫士 3938

前言:

当前各位老铁们对“linux查arp信息”都比较关心,看官们都需要剖析一些“linux查arp信息”的相关资讯。那么小编同时在网摘上收集了一些对于“linux查arp信息””的相关内容,希望你们能喜欢,咱们一起来了解一下吧!

入侵取证操作指引

概念

入侵取证是指针对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软、硬件技术,按照符合法律规范的方式,进行认别、保存、分析和提交数字证据的过程。

入侵取证操作流Linux取证—查看进程日志

# cat /var/log/messages

为方便后期筛查,可以导出成文档,如下图操作:

Linux取证—查看服务日志

# cat /var/log/maillog

Linux取证—查看是否有新增用户

# less /etc/passwd

Linux取证—查看是否有特权用户

# grep :0 /etc/passwd

Linux取证—查看passwd文件最后修改时间

# ls -l /etc/passwd

Linux取证—查看进程

#ps -aux

查看某具体进程的打开的端口及文件#:lsof -p pid 如下图:

Linux取证—查看不正常端口

# netstat -nap

Linux取证—ARP记录是否正常

# arp -a

可检查ARP欺骗

Linux取证—检查特权用户

# find / -uid 0 -print

Linux取证—查看远程用户

# awk '/\$1|\$6/{print $1}' /etc/shadow

Linux取证—查看root用户定时任务

# crontab -u root -l

Linux取证—检查自启动

# chkconfig --list/systemctl list-units --type=service

入侵取证检查样例

(1)查看日志信息是否还存在或者是否被清空。

(2)查找系统是否包含隐藏账户

(3)查看机器最近成功登陆的事件和最后一次不成功的登陆事件。

(4)查看机器当前登录的全部用户。

(5)查询服务器异常流量。

(6)如数据库被入侵,查看数据库日志。顾数据库要在初始化开启日志功能

(7)查询异常进程所对应的执行脚本文件。

(8)检测系统中的文件是否被删除或者更改。

(9)可以安装服务器杀毒、IPS等软件工具。

(10)网站安全漏洞等其他方面。

版权说明:请尊重原创版权,版权归本人所有。

标签: #linux查arp信息 #linux删除arp