Adli analizler hakkında daha fazla şey öğrenmek istiyorum ve zorlukları çözmeye çalışıyorum. Proje Honeynet . Günlük dosyalarını kontrol etmem ve bilgisayara uzaktan bağlanan IP'leri bulmam gerekiyor. Benim bir dd harddrive görüntüsünü yaptı. Sanırım çalışan tek hizmet apache. Apache'nin günlüklerinin yanı sıra, başka hangi günlük dosyalarını kontrol etmeliyim? Nerede bulunuyorsun?
Yanıtlar:
Who komutunu kullanarak / var / log / wtmp dosyasına bakabilirsiniz. Bu, sisteme kimin giriş yaptığını gösterir. Ip's gösterir ama tamamen emin değil bence. Bu elbette sadece * nix makinelerinde geçerliydi.
Düzenleme: Gönderiyi yeniden okuduktan sonra, web sunucunuzla bağlantı kuran bir kayıt defteri için daha fazlasını aradığınızı sanıyorum. Bu, sana öyle bir şey göstermeyecek, sanırım bir kabuğa kim girmiş.
Hangi sistemi kullandığınızı belirtmediniz, fakat yeni bir Linux tahmin edeceğim: / var / log altında denetiminizi bekleyen bir çok günlük var. Diğer sistemler onları başka bir yere koymuş olabilir. Neredeyse bunların tümü faydalı bağlantı bilgilerine sahip olabilir.