Mi piacerebbe saperne di più sull'analisi forense, e sto cercando di fare le sfide da Progetto Honeynet . Devo controllare i file di registro e trovare gli IP che sono collegati in remoto al computer. Ho un dd fatto immagine dell'hard disk. Penso che l'unico servizio in esecuzione sia stato apache. Oltre ai log di Apache, quali altri file di registro dovrei controllare? Dove si trovano?
Risposte:
Si può guardare in / var / log / wtmp usando il comando who. Questo mostrerà chi ha effettuato l'accesso al sistema. Penso che mostri Ip ma non ne sono completamente sicuro. Questo ovviamente si applicherebbe solo alle macchine * nix.
Modifica: dopo aver riletto il post, ho il sospetto che stavi cercando un registro di chi ha effettuato connessioni al tuo server web? Questo non ti mostrerà niente del genere, solo chi ha accesso a una shell, penso.
Non hai specificato quale sistema stai usando, ma immagino un Linux recente: c'è un'intera pletora di log in attesa dell'ispezione in / var / log. Altri sistemi potrebbero averli messi altrove. Quasi tutti questi potrebbero avere utili informazioni di connessione.