linux系統中有一些重要的痕跡日誌檔案,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日誌檔案,如果使用vim開啟這些檔案,會發現都是二進位制亂碼,這是由於這些日誌中儲存的是系統的重要登入痕跡等,包括某個使用者何時登入了系統、何時退出了系統、錯誤登入等重要的資訊,如果可以通過vim開啟編輯,資訊就會不準確,所以只能通過對應的命令來進行檢視。
顯示系統中正在登入的使用者的資訊,該命令檢視的痕跡日誌是/var/run/utmp
字段說明
user
登入的使用者
tty登入的終端號
from
登入的ip位址(如果是本地終端,則是空)
login@
登入時間
idle
使用者閒置時間
jcpu
所有的程序占用的cpu時間
pcpu
當前程序占用的cpu時間
what
使用者正在進行的操作
和w命令類似,用於檢視正在登入的使用者,但是顯示的內容更加簡單,也是檢視/var/run/utmp日誌
用單獨的一行列印出當前登入的使用者,每個顯示的使用者名稱對應乙個登入會話。如果乙個使用者有不止乙個登入會話,那他的使用者名將顯示多次
檢視系統所有登入過的使用者的資訊,包括正在登入的使用者和之前登入的使用者,檢視的是/var/log/wtmp日誌
檢視系統中所有使用者的最後一次登入時間的命令,檢視的是/var/log/lastlog日誌
檢視錯誤登入的資訊,檢視的是/var/log/btmp日誌
檢視當前使用者的歷史執行命令,儲存在~/.bash_history中。
可以用!行數去執行對應history中的命令。
Linux系統入侵痕跡分析取證
向伺服器運維人員詢問,系統的基本配置,安裝的發行版本,建立和使用的賬戶,所在網路拓撲的位置 網路配置情況,及其所承載的服務。root localhost uname a 省略.root localhost lsb version a 省略.root localhost head n 1 etc is...
Linux 入侵痕跡清理技巧
vim bash history 編輯history記錄檔案,刪除部分不想被儲存的歷史命令 history c 清除當前使用者的history命令記錄 histsize 0 通過修改配置檔案 etc profile,使系統不再儲存命令記錄 var log btmp 記錄所有登入失敗資訊,使用last...
Gentoo系統安裝痕跡化記錄
要安裝洋人的東西,還是得看洋人的文件,寫的確實不錯,鏈結如下 可以選擇中文或其他各種語言,既然是學習,就順便學一學英語吧,英文版走起。這個作業系統支援不同的體系架構,所以上來就先告訴你,想使喚本大爺 gentoo 先明確自己是個什麼東西 架構 所以,先用命令檢視自己的電腦是什麼系統 在cmd框中輸入...