Linux Forensics dành cho dân không chuyên về Linux

DiepNV88

VIP Members
24/09/2013
369
1.552 bài viết
Linux Forensics dành cho dân không chuyên về Linux
Chào anh em, với dân chuyên Linux thì kiến trúc cơ bản, các tệp hệ thống tệp lệnh không còn xa lạ gì với chúng ta nữa nhất là với anh em từng học qua các chứng chỉ như LPI 1&2 ..
Bài viết này như tiêu đề dành cho dân không chuyên Linux hay những anh em mới vào nghề với những anh em có kinh nghiệm mình xin gạch đá để bài viết được tốt hơn nhé.

H1.jpg

  • Vậy Linux có gì khác biệt ?
Không registry - Thông tin phải thu thập từ các nguồn phân tán.
Hệ thống tập tin khác nhau - không có ngày tạo tệp đến EXT4 mới có - siêu dữ liệu quan trọng =0 khi các tệp bị xóa.
Tệp dữ liệu là văn bản thuần túy - dễ dàng cho tìm kiếm chuỗi và diễn giải dữ liệu và truy cập hệ thống tệp.
Nhiều phân vùng gắn kết + hệ thống có thể phức tạp + Mã hóa, RAID, Logical Volume Mgmt....
  • Vậy chúng ta nên quan tâm đến những gì trên hệ thống Linux? có đối chiếu với Window cho dễ hình dùng nhé.
/etc ~ [%SystemRoot%/System32/config] - Thư mục cấu hình chính hệ thống, các thư mục cấu hình riêng biệt cho mỗi ứng dụng.
/var/log ~ [Windows event logs] - Security logs, application logs, etc..., nhật ký thường đươc giữ lại trong 4-5 tuần.
/home ~ /$USER [%USERPROFILE%] - Dữ liệu và thông tin cấu hình người dùng.
  • Thông tin về hồ sơ hệ thống căn bản:
Linux distro name/version number: /etc/*-release
Installation date: /etc/ssh/ssh_host_*_key
Computer name: /etc/hostname
IP address(es): /etc/hosts với ip tĩnh hoặc /var/lib/dhclient, /var/log/* (DHCP)
Default Time Zone: /etc/localtime
Binary file format: sử dụng zdump
  • Tài khoản người dùng:
Thông tin dữ liệu người dùng được lưu trữ trong: / etc / passwd, bất kỳ tài quản có UID 0 đều có quyền quản trị viên.
Mật khẩu mã hóa MD5 lưu trữ trong: /etc/shadow
/etc/sudoers cho biết danh sách người dùng có quyền quản trị riêng biệt.
Thông tin nhóm người dùng: /etc/group
Lịch sử đăng nhập người dùng: /var/log/wtmp : hiển thị tên người dùng, nguồn (ip) thời gian đăng nhập. Có thể sử dụng các lệnh như cat, tail -f để xem file log.
Nhật ký khác chứa dữ liệu cần thiết khi điều tra số: /var/log/secure, /var/log/audit/audit.log
/home/<user> là quy ước chung - home của tài khoản admin( root) là /root
Tệp / thư mục "Ẩn" có tên bắt đầu w / "." - chứa thông tin cấu hình dành riêng cho ứng dụng, có thể được thực hiện khi đăng nhập.
  • Trình duyệt:
Fire và Chrome là các trình duyệt phổ biến định dạng file giống như Window (SQLite DB)
File trong thư mục:
– Firefox: $HOME/.mozilla/firefox/*.default– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default
  • Command History:
$HOME/.bash_history - có thể bị sửa, xóa bởi người dùng và không được đánh dấu thời gian theo cấu hình mặc định.
Sudo history: Tất nhiên những file này cũng có thể bị sửa, xóa bởi người dùng.
– /var/log/auth.log
– /var/log/sudo.log
  • SSH:
ssh.png

Linux cung cấp cơ chế truy cập điều khiển từ xa ssh các tập tin hữu ích lưu trữ trong $HOME/.ssh
know_hosts - lưu trữ người dùng được kết nối.
authorized_keys - khóa công khai được sử dụng để đăng nhập.
id_rsa - khóa riêng được sử dụng để đăng nhập ở nơi khác
  • Những điều cần chú ý để hệ thống an toàn hơn
Service start-up scripts:
- /etc/inittab, /etc/init.d, /etc/rc.d (traditional)
- /etc/init.conf, /etc/init (Upstart)

Scheduled tasks ("cron jobs")
- /etc/cron*
- /var/spool/cron/*
Backdoor:
Hệ thống có thể bị cố ý cài đặt phần mềm độc hại
Trong tập tin : /etc/passwd and /etc/shadow có thể bị thêm tài khoản UID 0 hoặc tài khoản ứng dụng có mật khẩu hoạt động.

$HOME/.ssh/authorized_keys entries: các thư mục ủy quyền mới tạo ra có thể là backdoor dùng để truy cập trái phép.

Back doors via [x]inetd:
- /etc/inetd.conf
- /etc/xinetd.conf, /etc/xinetd.d

Ngoài ra chúng ta cần kiểm tra ra soát các tập tin:

Tập tin Rogue "set-UID"
Thư mục có tên bắt đầu bằng "."
Các tệp thông thường trong thư mục / dev
Các tệp được sửa đổi gần đây.
Tập tin lớn.

Bài viết mang tính chất liệt kê nhiều, chủ yếu diễn giải chung trên hệ thống Linux với mỗi hệ điều hành họ Linux khác nhau sẽ có những thay đổi chi tiết khác. Nếu có câu hỏi nào các bạn có thể comment ở dưới.

Via: Hal PomeranzHal Pomeranz​
 
Chỉnh sửa lần cuối:
Bên trên