IT보안 잡담

리눅스 로그 위치

의심스러운 디렉토리 경로
​
==============================
/tmp, /var/tmp
/dev
/dev/shm
/bin
/sbin
/usr/bin
/usr/sbin
/lib, /lib64, /lib32
/usr/lib, /usr/lib64, /usr/lib32
/etc
/var
/var/log
/var/spool/cron
Web server directories
Privileged/system user
directories
=============================
​
command : ls -al /bin
​
​
​
​
​
감사로그
===================
/var/log/wtmp
- All valid past logins
/var/log/lastlog
- Last login for each user
/var/log/btmp
- All bad logins
/var/run/utmp
- All current logins
/var/log/*
- Various logs
​
/var/log/wtmp
/var/log/lastlog
/var/log/btmp
/var/run/utmp
====================
utmpdump < /var/run/utmp
​
file *
실행시 ELF 파일의 존재여부 확인
​
​
​
netstat -nalp
네트워크 연결
​
​
ps -auxwf
프로세스 확인
​
의심스러운 프로세스 확인시
ls -al /proc/22251
명령어로 확인
​
​
strings /dev/suspicious_binary (파일 문자열 검색)
​.

리눅스 로그수집 명령어

date = 날짜
uname -a = 시스템 정보
ifconfig -a = 네트워크 정보
netstat -anp = 네트워크 연결정보
netstat -rn = 게이트 웨이 정보
route
lsof -V
ps -ef = 프로세스 정보
lsmod
df = 디스크 정보
mount = 마운팅 정보
w = 접속자 정보
last = 접속자 기록
cat /etc/passwd = 로컬 계정 정보
cat /etc/shadow = 계정 비밀번호?



find /home -printf %Ax;%AT;%Tx;%TT;%Cx;%CT;%m;%U;%u;%G;%g;%s;%p
find /root -type f -maxdepth 1 -regextype posix-extended -regex /root/\.bash_history -exec echo -e