Ich würde gerne mehr über die forensische Analyse erfahren und versuche, die Herausforderungen von Project Honeynet zu meistern . Ich muss die Protokolldateien überprüfen und die IP-Adressen finden, die remote mit dem Computer verbunden sind. Ich habe ein ddBild von der Festplatte gemacht. Ich glaube, der einzige Dienst, der ausgeführt wurde, war apache. Welche anderen Protokolldateien sollte ich neben den Protokollen von Apache überprüfen? Wo befinden Sie sich?
Sie können sich / var / log / wtmp mit dem Befehl who ansehen. Dies zeigt Ihnen, wer sich am System angemeldet hat. Ich denke es zeigt Ip's aber nicht ganz sicher. Dies gilt natürlich nur für * nix-Maschinen.
Edit: Nachdem ich den Post noch einmal gelesen hatte, vermute ich, dass Sie mehr nach einem Protokoll gesucht haben, wer Verbindungen zu Ihrem Webserver hergestellt hat? Das zeigt Ihnen so etwas nicht, nur wer auf eine Shell zugegriffen hat, denke ich.
Sie haben nicht angegeben, auf welchem System Sie arbeiten, aber ich schätze, ein aktuelles Linux: Es gibt eine Vielzahl von Protokollen, die unter / var / log auf Ihre Inspektion warten. Andere Systeme haben sie möglicherweise an anderer Stelle aufgestellt. Fast alle davon könnten nützliche Verbindungsinformationen enthalten.