linux系统取证
1、查看系统信息
[root@server02 ~]# uname -a #查看内核 Linux server02 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux [root@server02 ~]# cat /etc/redhat-release #查看操作系统版本 CentOS Linux release 7.6.1810 (Core)
[root@server02 ~]# cat/proc/cpuinfo #查看cpu信息 -bash: cat/proc/cpuinfo: 没有那个文件或目录 [root@server02 ~]# cat /proc/cpuinfo processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 42 model name : Intel(R) Core(TM) i3-2348M CPU @ 2.30GHz stepping : 7 microcode : 0x26 cpu MHz : 2292.589 cache size : 3072 KB physical id : 0 siblings : 1 core id : 0 cpu cores : 1 apicid : 0 initial apicid : 0 fpu : yes fpu_exception : yes cpuid level : 13 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_tsc arch_perfmon nopl xtopology tsc_reliable nonstop_tsc eagerfpu pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer xsave avx hypervisor lahf_lm tsc_adjust arat bogomips : 4585.17 clflush size : 64 cache_alignment : 64 address sizes : 43 bits physical, 48 bits virtual power management:
[root@server02 ~]# env #查看系统环境变量 XDG_SESSION_ID=2 HOSTNAME=server02 SELINUX_ROLE_REQUESTED= TERM=xterm SHELL=/bin/bash HISTSIZE=1000 SSH_CLIENT=192.168.0.105 52085 22 SELINUX_USE_CURRENT_RANGE= SSH_TTY=/dev/pts/0 USER=root
二、用户及组信息
[root@server02 ~]# w #查看活动用户 12:55:50 up 4:06, 1 user, load average: 0.07, 0.04, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 192.168.0.105 09:14 6.00s 0.27s 0.05s w [root@server02 ~]# cut -d: -f1 /etc/passwd #查看系统所有用户 root bin daemon adm lp sync shutdown halt mail operator games ftp nobody systemd-network dbus polkitd sshd postfix chrony ntp tss kube
[root@server02 ~]# cut -d: -f1 /etc/group #查看系统所有组 root bin daemon sys adm tty disk lp mem
三、防火墙及路由信息
[root@server02 ~]# iptables -L #查看防火墙信息 [root@server02 ~]# route -n #查看路由信息 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 ens33 0.0.0.0 192.168.88.2 0.0.0.0 UG 101 0 0 ens37 172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0 192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33 192.168.88.0 0.0.0.0 255.255.255.0 U 101 0 0 ens37
四、查看网络、端口信息
[root@server02 ~]# netstat -an #查看开放端口 Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN tcp 0 0 192.168.0.221:22 192.168.0.105:52089 ESTABLISHED tcp 0 0 192.168.0.221:22 192.168.0.105:52085 ESTABLISHED tcp6 0 0 :::22 :::* LISTEN tcp6 0 0 ::1:25 :::* LISTEN udp 0 0 0.0.0.0:68 0.0.0.0:* udp 0 0 127.0.0.1:323 0.0.0.0:* udp6 0 0 ::1:323 :::* raw6 0 0 :::58 :::* 7 raw6 0 0 :::58 :::* [root@server02 ~]# ifconfig #查看网络接口信息
[root@server02 ~]# netstat -lntp #查看所有监听端口 Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6943/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 7039/master tcp6 0 0 :::22 :::* LISTEN 6943/sshd tcp6 0 0 ::1:25 [root@server02 ~]# netstat -anpt #查看已建立的连接 Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6943/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 7039/master tcp 0 0 192.168.0.221:22 192.168.0.105:52089 ESTABLISHED 7489/sshd: root@not tcp 0 64 192.168.0.221:22 192.168.0.105:52085 ESTABLISHED 7485/sshd: root@pts tcp6 0 0 :::22 :::* LISTEN 6943/sshd tcp6 0 0 ::1:25 :::* LISTEN 7039/master
五、系统运行信息查看
[root@server02 ~]# cat /etc/crontab #系统cronr任务查看 SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root # For details see man 4 crontabs # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | .---------- day of month (1 - 31) # | | | .------- month (1 - 12) OR jan,feb,mar,apr ... # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat # | | | | | # * * * * * user-name command to be executed [root@server02 ~]# cd /var/spool/cron/ #查看用户的cron任务 [root@server02 cron]# ll 总用量 0
[root@server02 ~]# ps -ef #查看所有进程 [root@server02 ~]# netstat -s #查看网络统计信息进程 [root@server02 ~]# top #实时显示进程的用户信息
六、日志查看分析
Linux常用日志 /var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息 cat /var/log/boot.log var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息 cat /var/log/lastlog /var/log/messages #记录Linux操作系统常见的系统和服务错误信息 cat /var/log/messages /var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况 cat /var/log/secure /var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址 cat /var/log/btmp /var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看 cat /var/log/syslog /var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看 cat /var/log/wtmp /var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件 cat /var/log/utmp
应用服务日志:
Apache日志 /var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录 /var/log/httpd(apache2)/error.log # 其中包含Apache服务器的所有出错记录