Linux服务器取证研究,linux系统取证
1、查看系统信息
[root@server02 ~]# uname -a #查看内核
Linux server02 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
[root@server02 ~]# cat /etc/redhat-release #查看操作系统版本
CentOS Linux release 7.6.1810 (Core)
[root@server02 ~]# cat/proc/cpuinfo #查看cpu信息-bash: cat/proc/cpuinfo: 没有那个文件或目录
[root@server02 ~]# cat /proc/cpuinfo
processor : 0vendor_id : GenuineIntel
cpu family : 6model : 42model name : Intel(R) Core(TM) i3-2348M CPU @ 2.30GHz
stepping : 7microcode : 0x26cpu MHz : 2292.589cache size : 3072 KB
physical id : 0siblings : 1core id : 0cpu cores : 1apicid : 0initial apicid : 0fpu : yes
fpu_exception : yes
cpuid level : 13wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_tsc arch_perfmon nopl xtopology tsc_reliable nonstop_tsc eagerfpu pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer xsave avx hypervisor lahf_lm tsc_adjust arat
bogomips : 4585.17clflush size : 64cache_alignment : 64address sizes : 43 bits physical, 48 bits virtual
power management:[root@server02 ~]# env #查看系统环境变量
XDG_SESSION_ID=2HOSTNAME=server02
SELINUX_ROLE_REQUESTED=TERM=xterm
SHELL=/bin/bash
HISTSIZE=1000SSH_CLIENT=192.168.0.105 52085 22SELINUX_USE_CURRENT_RANGE=SSH_TTY=/dev/pts/0USER=root
二、用户及组信息
[root@server02 ~]# w #查看活动用户 12:55:50 up 4:06, 1 user, load average: 0.07, 0.04, 0.05USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.0.105 09:14 6.00s 0.27s 0.05s w[root@server02 ~]# cut -d: -f1 /etc/passwd #查看系统所有用户
root
bin
daemon
admlpsyncshutdown
halt
operator
gamesftpnobody
systemd-network
dbus
polkitd
sshd
postfix
chrony
ntp
tss
kube
[root@server02 ~]# cut -d: -f1 /etc/group #查看系统所有组
root
bin
daemon
sys
adm
tty
disklpmem
三、防火墙及路由信息[root@server02 ~]# iptables -L #查看防火墙信息
[root@server02 ~]# route -n #查看路由信息
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 ens330.0.0.0 192.168.88.2 0.0.0.0 UG 101 0 0 ens37172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33192.168.88.0 0.0.0.0 255.255.255.0 U 101 0 0 ens37
四、查看网络、端口信息
[root@server02 ~]# netstat -an #查看开放端口
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.221:22 192.168.0.105:52089 ESTABLISHED
tcp 0 0 192.168.0.221:22 192.168.0.105:52085 ESTABLISHED
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 0 ::1:25 :::* LISTEN
udp 0 0 0.0.0.0:68 0.0.0.0:*udp 0 0 127.0.0.1:323 0.0.0.0:*udp6 0 0 ::1:323 :::*raw6 0 0 :::58 :::* 7raw6 0 0 :::58 :::* [root@server02 ~]# ifconfig #查看网络接口信息
[root@server02 ~]# netstat -lntp #查看所有监听端口
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6943/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 7039/master
tcp6 0 0 :::22 :::* LISTEN 6943/sshd
tcp6 0 0 ::1:25 [root@server02 ~]# netstat -anpt #查看已建立的连接
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6943/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 7039/master
tcp 0 0 192.168.0.221:22 192.168.0.105:52089 ESTABLISHED 7489/sshd: root@not
tcp 0 64 192.168.0.221:22 192.168.0.105:52085 ESTABLISHED 7485/sshd: root@pts
tcp6 0 0 :::22 :::* LISTEN 6943/sshd
tcp6 0 0 ::1:25 :::* LISTEN 7039/master
五、系统运行信息查看
[root@server02 ~]# cat /etc/crontab #系统cronr任务查看
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |# * * * * * user-name command to be executed
[root@server02 ~]# cd /var/spool/cron/ #查看用户的cron任务
[root@server02 cron]# ll
总用量 0
[root@server02 ~]# ps -ef #查看所有进程
[root@server02 ~]# netstat -s #查看网络统计信息进程
[root@server02 ~]# top #实时显示进程的用户信息
六、日志查看分析Linux常用日志/var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息cat /var/log/boot.log
var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息cat /var/log/lastlog/var/log/messages #记录Linux操作系统常见的系统和服务错误信息cat /var/log/messages/var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况cat /var/log/secure/var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址cat /var/log/btmp/var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看cat /var/log/syslog/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看cat /var/log/wtmp/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件cat /var/log/utmp
应用服务日志:
Apache日志/var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录/var/log/httpd(apache2)/error.log # 其中包含Apache服务器的所有出错记录
Linux服务器取证研究,linux系统取证相关推荐
- linux服务器历险之linux性能监控
linux服务器历险之linux性能监控 1.uptime uptime命令用于查看服务器运行了多长时间以及有多少个用户登录,快速获知服务器的负荷情况. uptime的输出包含一项内容是load av ...
- linux服务器关机日期,linux服务器last查看关机记录
1.查看重启记录 last reboot命令 [root@test ~]# last reboot reboot system boot 2.6.-.el6.x Mon May : - : (+:) ...
- 红黑树在linux内核中的应用场景(红黑树,进程管理CFS,内存管理)丨epoll丨c/c++linux服务器开发丨linux后台开发
红黑树在linux内核中的应用场景(红黑树,进程管理CFS,内存管理) 视频讲解如下: 红黑树在linux内核中的应用场景(红黑树,进程管理CFS,内存管理)丨epoll丨c/c++linux服务器开 ...
- 全面了解C++后端开发技能树,C++后端开发面试技术点丨C/C++linux服务器开发丨linux后台开发
C++后端开发技能树,C++后端开发面试技术点 视频讲解如下: 全面了解C++后端开发技能树,C++后端开发面试技术点丨C/C++linux服务器开发丨linux后台开发丨网络编程丨面试经验 C/C+ ...
- 解析Linux内核源码中数据同步问题丨C++后端开发丨Linux服务器开发丨Linux内核开发丨驱动开发丨嵌入式开发丨内核操作系统
剖析Linux内核源码数据同步 1.pdflush机制原理 2.超级块同步/inode同步 3.拥塞及强制回写技术 视频讲解如下,点击观看: 解析Linux内核源码中数据同步问题丨C++后端开发丨Li ...
- 详解5种红黑树的场景,从Linux内核谈到Nginx源码,听完醍醐灌顶丨Linux服务器开发丨Linux后端开发
5种红黑树的场景,从Linux内核谈到Nginx源码,听完醍醐灌顶 1. 进程调度CFS的红黑树场景 2. 虚拟内存管理的红黑树场景 3. 共享内存slab的红黑树场景 视频讲解如下,点击观看: [干 ...
- php 登录 linux服务器,如何实现linux系统远程登录到linux服务器
linux系统登录到远程linux服务器: 有多种不同的协议可供选择,也许SSH是"最好"的.SSH是secure shell的简写,意为"安全的shell". ...
- linux服务器带宽设置,linux 系统查看服务器带宽使用
使用linux服务器中,可能刚接触的同学不会查看系统的带宽使用,这里收集了一个脚本,可以实时显示服务器的带宽使用喔~ vi cs.sh 然后粘贴以下内容: #!/bin/bash if [ -z &q ...
- linux服务器连接中文,Linux系统遇到SecureCRT连接到linux服务器之后出现乱码问题
Linux系统中有时会用户们会遇到SecureCRT连接到linux服务器之后出现乱码,那么我们要怎么解决这个问题呢?其实方法并不难,现在就和小编一起来看看吧. 问题:中文字符显示出来成了乱码(当前系 ...
- linux服务器清除cdn,Linux服务器中查找并删除大文件的五种方法,Linux系统清除文件内容的命令分享...
很多时候,在处理Linux终端中的文件时,您可能希望清除文件的内容,而无需使用任何Linux命令行编辑器打开它.怎么能实现这一目标?在本文中,我们将借助一些有用的命令,通过几种不同的方式清空文件内容. ...
最新文章
- android usb 触摸屏 apk,Android插入USB设备,自动弹出提示运行apk
- 如何配置Microsoft LoopBack Adapter 配置为系统的主网络适配器
- mysql连接nginx_nginx四层负载均衡连接mysql
- 从TCP到RDMA网络最新技术|扩展技术视野
- settimeout( )是全局函数吗_JS函数的执行
- 女孩子狠起来可以多可怕?
- 如何使用网上下载的arcgis工具箱,报错汇总
- 阿里云容器服务发布 Knative 托管服务
- H264参数SPS(序列参数集)和PPS(图像参数集)说明
- Docker下载与安装(win7,8,10,mac)
- 群晖218 当文件服务器,群晖218 家庭云服务器
- 异常mongodb:Invalid BSON field name XXXXXX:YYYYY.zz
- flashback query闪回数据
- 浅谈Redis底层数据结构(sdshdr-redisObject)
- 数字图像处理与机器视觉,机器视觉算法与应用 pdf电子版
- Vue删除表格数据-调用逻辑
- cad计算机画图标准,CAD画图某些常用尺寸及作图习惯
- jfreechart-x轴刻度倾斜45度
- 08:判断一个数能否同时被3和5整除
- python语言的三种基本结构_Python语言基础分支语句、循环语句.PPT