linux系统取证

1、查看系统信息

 

[root@server02 ~]# uname -a      #查看内核
Linux server02 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
[root@server02 ~]# cat /etc/redhat-release     #查看操作系统版本
CentOS Linux release 7.6.1810 (Core)
    

 

[root@server02 ~]# cat/proc/cpuinfo      #查看cpu信息
-bash: cat/proc/cpuinfo: 没有那个文件或目录
[root@server02 ~]# cat /proc/cpuinfo
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 6
model           : 42
model name      : Intel(R) Core(TM) i3-2348M CPU @ 2.30GHz
stepping        : 7
microcode       : 0x26
cpu MHz         : 2292.589
cache size      : 3072 KB
physical id     : 0
siblings        : 1
core id         : 0
cpu cores       : 1
apicid          : 0
initial apicid  : 0
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_tsc arch_perfmon nopl xtopology tsc_reliable nonstop_tsc eagerfpu pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer xsave avx hypervisor lahf_lm tsc_adjust arat
bogomips        : 4585.17
clflush size    : 64
cache_alignment : 64
address sizes   : 43 bits physical, 48 bits virtual
power management:
[root@server02 ~]# env    #查看系统环境变量
XDG_SESSION_ID=2
HOSTNAME=server02
SELINUX_ROLE_REQUESTED=
TERM=xterm
SHELL=/bin/bash
HISTSIZE=1000
SSH_CLIENT=192.168.0.105 52085 22
SELINUX_USE_CURRENT_RANGE=
SSH_TTY=/dev/pts/0
USER=root

二、用户及组信息

 

 

[root@server02 ~]# w    #查看活动用户
 12:55:50 up  4:06,  1 user,  load average: 0.07, 0.04, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.0.105    09:14    6.00s  0.27s  0.05s w
[root@server02 ~]# cut -d: -f1 /etc/passwd    #查看系统所有用户
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
operator
games
ftp
nobody
systemd-network
dbus
polkitd
sshd
postfix
chrony
ntp
tss
kube

 

[root@server02 ~]# cut -d: -f1 /etc/group    #查看系统所有组
root
bin
daemon
sys
adm
tty
disk
lp
mem

三、防火墙及路由信息

[root@server02 ~]# iptables -L    #查看防火墙信息
[root@server02 ~]# route -n    #查看路由信息
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 ens33
0.0.0.0         192.168.88.2    0.0.0.0         UG    101    0        0 ens37
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33
192.168.88.0    0.0.0.0         255.255.255.0   U     101    0        0 ens37

四、查看网络、端口信息

 

 

[root@server02 ~]# netstat -an    #查看开放端口
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp        0      0 192.168.0.221:22        192.168.0.105:52089     ESTABLISHED
tcp        0      0 192.168.0.221:22        192.168.0.105:52085     ESTABLISHED
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 ::1:25                  :::*                    LISTEN
udp        0      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 127.0.0.1:323           0.0.0.0:*
udp6       0      0 ::1:323                 :::*
raw6       0      0 :::58                   :::*                    7
raw6       0      0 :::58                   :::*          
[root@server02 ~]# ifconfig   #查看网络接口信息

 

[root@server02 ~]# netstat -lntp    #查看所有监听端口
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      6943/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      7039/master
tcp6       0      0 :::22                   :::*                    LISTEN      6943/sshd
tcp6       0      0 ::1:25   
[root@server02 ~]# netstat -anpt    #查看已建立的连接
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      6943/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      7039/master
tcp        0      0 192.168.0.221:22        192.168.0.105:52089     ESTABLISHED 7489/sshd: root@not
tcp        0     64 192.168.0.221:22        192.168.0.105:52085     ESTABLISHED 7485/sshd: root@pts
tcp6       0      0 :::22                   :::*                    LISTEN      6943/sshd
tcp6       0      0 ::1:25                  :::*                    LISTEN      7039/master
     

五、系统运行信息查看

 

 

[root@server02 ~]# cat /etc/crontab   #系统cronr任务查看
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed
[root@server02 ~]# cd /var/spool/cron/   #查看用户的cron任务
[root@server02 cron]# ll
总用量 0

 

[root@server02 ~]# ps -ef   #查看所有进程
[root@server02 ~]# netstat -s   #查看网络统计信息进程
[root@server02 ~]# top   #实时显示进程的用户信息
 

六、日志查看分析

Linux常用日志

/var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息

cat /var/log/boot.log



var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息


cat /var/log/lastlog



/var/log/messages #记录Linux操作系统常见的系统和服务错误信息


cat /var/log/messages



/var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况


cat /var/log/secure



/var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址


cat /var/log/btmp



/var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看


cat /var/log/syslog



/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看


cat /var/log/wtmp



/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 whow、users、finger等就需要访问这个文件


cat /var/log/utmp

应用服务日志:

 

 

Apache日志

/var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录

/var/log/httpd(apache2)/error.log # 其中包含Apache服务器的所有出错记录

 

posted @ 2021-04-25 13:16  星火撩原  阅读(189)  评论(0编辑  收藏  举报