Questions tagged «forensics»

引起我注意的是，我的一台服务器被黑客攻击并感染了一个已知的中国僵尸网络。 这是一个具有自己的静态IP（美国地址）的原型/测试虚拟机，因此没有造成伤害（只是花了我一段时间才能弄清楚）。 现在，我想知道入侵使用了什么IP / s，以了解攻击是否源自中国。 有没有办法查看服务器上ssh上已接收连接的历史记录？ 编辑：系统是Linux Debian 7

42 networking  ssh  logs  ip  forensics 

我的Arch机器有时挂起，突然对鼠标或键盘没有任何响应。光标被冻结。Ctrl-Alt-Backsp不会停止X11，而ctrl-alt-del完全不执行任何操作。conky和icewm中的cpu，网络和磁盘活动图将停止更新。几分钟后，风扇打开。使计算机完全执行任何操作的唯一方法是关闭电源。 启动时，CPU温度监视器显示70至80C。吊死之前，我通常会进行低强度的活动，例如在50°C左右进行网络冲浪。 与正常关机相比，日志没有什么特别的。内存检查器运行良好，零缺陷。 我如何调查为什么挂断了？我是否可以找到其他线索的信息？除了关闭外壳或发出哔哔声外，还有什么比关闭电源激烈得多的动作了吗？ 这台机器是一台Gateway P6860 17英寸笔记本电脑（笨重但功能强大），并且正在运行Arch 64bit（最新版本）（截至2011年3月）。我很长一段时间都没有遇到这个问题，因此切换到Ubuntu大约一周了然后撤退到新的Arch装置。那是绞刑开始的时候。 更新：是的，肯定是过热的。在某一温度下，鼠标和键盘会停止工作，有时在冷却几分钟后便会起作用。在较高的温度下，会发生更糟的事情，例如完全无响应（包括忽略SysRq）。在这种情况下，不久就会突然断电。我已经通过购买新计算机8D解决了该问题

19 linux  arch-linux  logs  kernel-panic  forensics 

我知道要在Windows中转储内存映像。（例如，dumpit）但是我不知道如何在Linux中转储内存映像。 我想在Linux中以及通过ssh连接或其他方式从Linux到Linux获取内存映像。 如何获得Linux？

18 memory  forensics  dump 

所以最近我发现有人未经允许使用我的计算机，浏览文件夹等。 我可以立即更改所有密码，但我对入侵者正在寻找的东西感到好奇。因此，我想设置一个陷阱（邪恶的笑容）。 什么软件可以监视我的计算机上的任何活动？虽然我知道捕获我的屏幕将在这里工作。我宁愿使用日志文件。 例如： /var/log/activity.log [2010年8月1日20:23] / usr / bin / thunar已访问/ multimedia / cctv-records / [2010年8月1日20:25] / usr / bin / mplayer已访问/multimedia/cctv-records/00232.avi [8月3日2010 02:34] / usr / bin / thunderbird已运行 [2010年8月3日03:33]从12.32.132.123传入ssh会话 我要记录的活动是： 访问文件系统上的文件和文件夹 命令运行（从控制台或其他方式） 用户会话（登录，ssh会话和失败的尝试）

16 security  monitoring  logs  forensics 

我在任何地方都找不到答案。我怎么知道谁重命名了目录？ ls -al 仅显示创建该目录的用户名。

11 files  rename  forensics 

我如何找出谁执行了特定命令以及使用哪个终端运行该命令？ 原件： 我如何知道特定的cmd由谁执行以及如何知道我的终端

11 process  forensics