Я задал этот же вопрос superuser но особых успехов у меня не было. Я хотел бы узнать больше о судебно-медицинской экспертизе, и я выполняю задачи из Проект Honeynet. Мне нужно проверить файлы журналов и увидеть IP-адреса, по которым удаленно подключен к компьютеру. у меня есть dd образ жесткого диска, и единственной работающей службой была apache. Какие еще файлы журналов мне следует изучить, помимо журналов Apache, чтобы узнать, кто подключился к компьютеру? Меня интересуют только удаленные подключения. Что касается системы Linux, мы можем считать ее универсальной с ядром 2.4.
я согласен с Neoice и Барт.
Кроме того, возможно, проверьте, был ли установлен какой-либо инструмент мониторинга изменения файлов (или инструмент мониторинга руткитов) (примеры включают, но не ограничиваются: samhain, tripwire, rthunter). samhain / tripwire мог предоставит вам список измененных файлов и руткитов мог показать вам не только предполагаемые руткиты, но и другие проблемные области. На самом деле, вы можете даже захотеть запустить свой rootkit hunter в chroot к этому образу диска ...
все. auth, syslog, messages, .bash_history, last, utmp, wtmp, журналы cron, / tmp. На самом деле это только начало, потому что злоумышленник с правами root может изменить что угодно (и, вероятно, это сделал), поэтому вам нужно найти место, которое было забыто.