Я хотел бы узнать больше о судебном анализе, и я пытаюсь сделать вызовы со стороны Проекта Honeynet. Я должен проверить файлы журнала и найти IP, который соединился удаленно с компьютером. У меня есть a dd
сделанное изображение жесткого диска. Я думаю единственный сервис, который работал, был apache
. Помимо журналов Apache, что другие файлы журнала я должен проверить? Где они расположены?
Вы могли посмотреть на/var/log/wtmp использование команды кто. Это покажет Вам, кто вошел в систему. Я думаю, что это показывает IP, но не абсолютно уверенное. Это, конечно, только относилось бы *, отклоняют машины.
Править: После перечитывания сообщения я подозреваю, что Вы искали больше журнал того, кто установил связи с Вашим веб-сервером? Это не покажет Вам ничего как этот, кто получил доступ к оболочке, я думаю.
Вы не указывали, какую систему Вы выполняете, но я предположу недавний Linux: существует целое изобилие журналов, ждущих Вашего контроля под/var/log. Другие системы, возможно, поместили их в другом месте. Почти все они могли иметь полезную информацию о подключении.