用linux收集证据的一般程序

在redhat linux家族系列上

第一步确定系统:cat /etc/redhat-release

Red Hat Enterprise Linux AS release 4 (Nahant Update 4)

第二步确定主机的名称和IP以及其他网络设置

[root@localhost t]# cat etc/hosts
127.0.0.1               apollo.honeyp.edu apollo localhost.localdomain localhost
[root@localhost t]#

[root@localhost t]# cat etc/sysconfig/network
NETWORKING=yes
HOSTNAME=apollo.honeyp.edu
GATEWAY=172.16.1.254
DEVICE=eth0
BOOTPROTO=static
BROADCAST=172.16.1.255
IPADDR=172.16.1.107
NETMASK=255.255.255.0
NETWORK=172.16.1.0
ONBOOT=yes

第三步查看系统上谁曾经登陆过用的命令是

[root@localhost t]# last -f var/log/wtmp
root     tty1                          Thu Nov  9 10:37    gone - no logout

wtmp begins Wed Nov  8 22:59:52 2000
[root@localhost t]#
这里已经被入侵内者给清除痕迹了。
第四步查看谁曾经登陆过和从哪里过来的

[root@localhost t]# cat var/log/secure
Nov  5 10:54:49 apollo in.telnetd[680]: connect from 207.239.115.11
Nov  6 02:59:23 apollo in.ftpd[973]: connect from 128.121.247.126
Nov  8 00:08:40 apollo in.telnetd[2077]: connect from 216.216.74.2
Nov  8 00:08:40 apollo in.telnetd[2078]: connect from 216.216.74.2
[root@localhost t]#

第五部查看程序的启动和关闭过程