Я хотел бы узнать больше о криминалистическом анализе, и я пытаюсь справиться с задачами проекта Honeynet . Мне нужно проверить файлы журналов и найти IP-адреса, которые подключены к компьютеру удаленно. У меня есть ddобраз жесткого диска. Я думаю, что единственная служба, которая была запущена, была apache. Кроме логов Apache, какие еще файлы логов я должен проверить? Где они находятся?
Вы можете посмотреть / var / log / wtmp с помощью команды who. Это покажет вам, кто вошел в систему. Я думаю, что это показывает Ip, но не совсем уверен. Это, конечно, относится только к * nix машинам.
Изменить: После перечитывания поста я подозреваю, что вы искали больше для журнала, кто сделал подключения к вашему веб-серверу? Это не покажет вам ничего подобного, просто я думаю, кто получил доступ к оболочке.
Вы не указали, какую систему вы используете, но, как я полагаю, недавно появился Linux: в каталоге / var / log вас ожидает множество журналов. Другие системы могли поместить их в другое место. Почти все из них могут иметь полезную информацию о подключении.