标签: forensics

我注意到我的一个服务器被黑客入侵并感染了一个已知的中国僵尸网络。

这是一个原型/测试虚拟机，有自己的静态 IP（美国地址），所以没有造成任何伤害（我花了一段时间才弄明白）。

现在我想知道入侵使用的是什么IP/s，以了解攻击是否来自中国。

有没有办法在服务器上的 ssh 上查看接收连接的历史记录？

编辑：系统是 Linux Debian 7

我知道在 Windows 中转储内存图像。(eg-dumpit) 但我不知道如何在 Linux 中转储内存映像。

我想在 Linux 中获取内存映像，并通过 ssh 连接或其他方式从 Linux 到 Linux。

我怎样才能进入 Linux？

我的 Arch 机器有时会挂起，突然对鼠标或键盘没有任何响应。光标被冻结。Ctrl-Alt-Backsp 不会停止 X11，而 ctrl-alt-del 什么也不做。conky 和 ​​icewm 中的 CPU、网络和磁盘活动图停止更新。几分钟后，风扇打开。让计算机做任何事情的唯一方法就是关闭电源。

启动时，CPU 温度监视器显示 70 到 80C。在挂起之前，我通常会做一些低强度的活动，比如在 50 摄氏度左右的网上冲浪。

与正常关机相比，日志没有显示任何特别之处。内存检查器运行良好，缺陷为零。

我如何调查挂断的原因？我可以找到额外的信息来寻找线索吗？有什么比关闭电源更激烈的动作来获得某种动作，如果只有一些有限的外壳或只是哔哔声，但可能会提供线索？

这台机器是 Gateway P6860 17" 笔记本电脑（笨重但功能强大），它运行的是 Arch 64 位，最新（截至 2011 年 3 月）。我用 Arch 很长时间没有这个问题，切换到 Ubuntu 大约一个星期然后退回到全新安装的 Arch。那是绞刑开始的时候。

更新：是的，肯定是过热了。在某一温度下，鼠标和键盘会停止工作，有时会在冷却几分钟后开始工作。在更高的温度下，会发生更糟糕的事情，例如完全无响应，包括忽略 SysRq。这种情况之后不久就会突然断电。我已经通过购买新电脑 8D 解决了这个问题

所以最近我发现有人在未经同意的情况下使用我的电脑，浏览文件夹等......

I could change all my passwords straight away, but I'm curious as the what the intruding party was looking for. So I would like to set up a trap ( evil grin ).

What software will monitor any activity on my computer? While I know that capturing my screen will work here. I'd rather use a logfile.

For example:

/var/log/activity.log

[1 Aug 2010 20:23] /usr/bin/thunar accessed /multimedia/cctv-records/
[1 Aug 2010 20:25] /usr/bin/mplayer accessed /multimedia/cctv-records/00232.avi
[3 Aug 2010 02:34] /usr/bin/thunderbird …

如何找出谁执行了特定命令以及使用哪个终端来运行它？

原文：

我如何知道特定的 cmd 由谁执行并了解我的终端

我在任何地方都找不到答案。我如何知道谁重命名了目录？

ls -al 仅显示创建该目录的用户的名称。

在我将我的笔记本电脑借给我年轻且精通 linux 的侄子之前，我想确保他无法在驱动器的空白空间中刻入我的个人数据。我已经多次饱和驱动器中的空白空间

sudo cat /dev/urandom > some-file

注意 sudo 的使用，这样保留的 5% 空白空间会被忽略，文件会一直增长，直到出现错误。

但是，我在该分区中执行 photorec，然后会弹出数百个旧文件。那么，至少出于好奇，这些文件存储在哪里，为什么随机噪声没有覆盖它们？

（到目前为止，我唯一的解释是，它们可能位于文件末尾和包含它的扇区末尾之间的空白处。可能是这样吗？）

一位客户通过电子邮件向我发送了关于他们的提供商将因为 ssh 攻击而关闭服务器的信息。

登录服务器，发现有很多ssh-scan进程，在/tmp中有一些奇怪的文件。我不得不关闭它，因为我不知道该怎么办。在重建服务器之前，有没有办法找出这种情况是如何发生的，以防止它再次发生？

管理员如何找到被userdel命令删除的用户的UID ？

首先，简要描述一下情况：一台计算机隐藏在某种画廊的显示器附近，充当一件作品的无声主力。尽管程序员的本意是最好的，但根据路人与显示器的互动，该作品可能会时不时地崩溃。由于正常运行时间（或类似的东西）非常宝贵，程序员已经安装了计算机以使用 bash 循环黑客式地自动重新启动相关程序。

开发人员很想确定任何崩溃的原因是什么，但是通过 GDB 运行程序——据开发人员所知——会导致进程在崩溃时停止。这确实使开发人员能够利用“回溯”并找到原因，但是在开发人员前往相关画廊进行检查之前，该作品将无法操作。这不好。

这个勇敢的开发人员如何通过 GDB 保护每次崩溃的回溯（并可能将它们存储在某个地方），但仍然允许在崩溃时自动重新启动进程的原始行为？