DiepNV88
VIP Members
-
24/09/2013
-
369
-
1.552 bài viết
Linux Forensics dành cho dân không chuyên về Linux
Chào anh em, với dân chuyên Linux thì kiến trúc cơ bản, các tệp hệ thống tệp lệnh không còn xa lạ gì với chúng ta nữa nhất là với anh em từng học qua các chứng chỉ như LPI 1&2 ..
Bài viết này như tiêu đề dành cho dân không chuyên Linux hay những anh em mới vào nghề với những anh em có kinh nghiệm mình xin gạch đá để bài viết được tốt hơn nhé.
Hệ thống tập tin khác nhau - không có ngày tạo tệp đến EXT4 mới có - siêu dữ liệu quan trọng =0 khi các tệp bị xóa.
Tệp dữ liệu là văn bản thuần túy - dễ dàng cho tìm kiếm chuỗi và diễn giải dữ liệu và truy cập hệ thống tệp.
Nhiều phân vùng gắn kết + hệ thống có thể phức tạp + Mã hóa, RAID, Logical Volume Mgmt....
/var/log ~ [Windows event logs] - Security logs, application logs, etc..., nhật ký thường đươc giữ lại trong 4-5 tuần.
/home ~ /$USER [%USERPROFILE%] - Dữ liệu và thông tin cấu hình người dùng.
Installation date: /etc/ssh/ssh_host_*_key
Computer name: /etc/hostname
IP address(es): /etc/hosts với ip tĩnh hoặc /var/lib/dhclient, /var/log/* (DHCP)
Default Time Zone: /etc/localtime
Binary file format: sử dụng zdump
Mật khẩu mã hóa MD5 lưu trữ trong: /etc/shadow
/etc/sudoers cho biết danh sách người dùng có quyền quản trị riêng biệt.
Thông tin nhóm người dùng: /etc/group
Lịch sử đăng nhập người dùng: /var/log/wtmp : hiển thị tên người dùng, nguồn (ip) thời gian đăng nhập. Có thể sử dụng các lệnh như cat, tail -f để xem file log.
Nhật ký khác chứa dữ liệu cần thiết khi điều tra số: /var/log/secure, /var/log/audit/audit.log
/home/<user> là quy ước chung - home của tài khoản admin( root) là /root
Tệp / thư mục "Ẩn" có tên bắt đầu w / "." - chứa thông tin cấu hình dành riêng cho ứng dụng, có thể được thực hiện khi đăng nhập.
File trong thư mục:
– Firefox: $HOME/.mozilla/firefox/*.default– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default
Sudo history: Tất nhiên những file này cũng có thể bị sửa, xóa bởi người dùng.
– /var/log/auth.log
– /var/log/sudo.log
Linux cung cấp cơ chế truy cập điều khiển từ xa ssh các tập tin hữu ích lưu trữ trong $HOME/.ssh
know_hosts - lưu trữ người dùng được kết nối.
authorized_keys - khóa công khai được sử dụng để đăng nhập.
id_rsa - khóa riêng được sử dụng để đăng nhập ở nơi khác
- /etc/inittab, /etc/init.d, /etc/rc.d (traditional)
- /etc/init.conf, /etc/init (Upstart)
Scheduled tasks ("cron jobs")
- /etc/cron*
- /var/spool/cron/*
Backdoor:
Hệ thống có thể bị cố ý cài đặt phần mềm độc hại
Trong tập tin : /etc/passwd and /etc/shadow có thể bị thêm tài khoản UID 0 hoặc tài khoản ứng dụng có mật khẩu hoạt động.
$HOME/.ssh/authorized_keys entries: các thư mục ủy quyền mới tạo ra có thể là backdoor dùng để truy cập trái phép.
Back doors via [x]inetd:
- /etc/inetd.conf
- /etc/xinetd.conf, /etc/xinetd.d
Ngoài ra chúng ta cần kiểm tra ra soát các tập tin:
Tập tin Rogue "set-UID"
Thư mục có tên bắt đầu bằng "."
Các tệp thông thường trong thư mục / dev
Các tệp được sửa đổi gần đây.
Tập tin lớn.
Bài viết mang tính chất liệt kê nhiều, chủ yếu diễn giải chung trên hệ thống Linux với mỗi hệ điều hành họ Linux khác nhau sẽ có những thay đổi chi tiết khác. Nếu có câu hỏi nào các bạn có thể comment ở dưới.
Bài viết này như tiêu đề dành cho dân không chuyên Linux hay những anh em mới vào nghề với những anh em có kinh nghiệm mình xin gạch đá để bài viết được tốt hơn nhé.
- Vậy Linux có gì khác biệt ?
Hệ thống tập tin khác nhau - không có ngày tạo tệp đến EXT4 mới có - siêu dữ liệu quan trọng =0 khi các tệp bị xóa.
Tệp dữ liệu là văn bản thuần túy - dễ dàng cho tìm kiếm chuỗi và diễn giải dữ liệu và truy cập hệ thống tệp.
Nhiều phân vùng gắn kết + hệ thống có thể phức tạp + Mã hóa, RAID, Logical Volume Mgmt....
- Vậy chúng ta nên quan tâm đến những gì trên hệ thống Linux? có đối chiếu với Window cho dễ hình dùng nhé.
/var/log ~ [Windows event logs] - Security logs, application logs, etc..., nhật ký thường đươc giữ lại trong 4-5 tuần.
/home ~ /$USER [%USERPROFILE%] - Dữ liệu và thông tin cấu hình người dùng.
- Thông tin về hồ sơ hệ thống căn bản:
Installation date: /etc/ssh/ssh_host_*_key
Computer name: /etc/hostname
IP address(es): /etc/hosts với ip tĩnh hoặc /var/lib/dhclient, /var/log/* (DHCP)
Default Time Zone: /etc/localtime
Binary file format: sử dụng zdump
- Tài khoản người dùng:
Mật khẩu mã hóa MD5 lưu trữ trong: /etc/shadow
/etc/sudoers cho biết danh sách người dùng có quyền quản trị riêng biệt.
Thông tin nhóm người dùng: /etc/group
Lịch sử đăng nhập người dùng: /var/log/wtmp : hiển thị tên người dùng, nguồn (ip) thời gian đăng nhập. Có thể sử dụng các lệnh như cat, tail -f để xem file log.
Nhật ký khác chứa dữ liệu cần thiết khi điều tra số: /var/log/secure, /var/log/audit/audit.log
/home/<user> là quy ước chung - home của tài khoản admin( root) là /root
Tệp / thư mục "Ẩn" có tên bắt đầu w / "." - chứa thông tin cấu hình dành riêng cho ứng dụng, có thể được thực hiện khi đăng nhập.
- Trình duyệt:
File trong thư mục:
– Firefox: $HOME/.mozilla/firefox/*.default– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default
- Command History:
Sudo history: Tất nhiên những file này cũng có thể bị sửa, xóa bởi người dùng.
– /var/log/auth.log
– /var/log/sudo.log
- SSH:
Linux cung cấp cơ chế truy cập điều khiển từ xa ssh các tập tin hữu ích lưu trữ trong $HOME/.ssh
know_hosts - lưu trữ người dùng được kết nối.
authorized_keys - khóa công khai được sử dụng để đăng nhập.
id_rsa - khóa riêng được sử dụng để đăng nhập ở nơi khác
- Những điều cần chú ý để hệ thống an toàn hơn
- /etc/inittab, /etc/init.d, /etc/rc.d (traditional)
- /etc/init.conf, /etc/init (Upstart)
Scheduled tasks ("cron jobs")
- /etc/cron*
- /var/spool/cron/*
Backdoor:
Hệ thống có thể bị cố ý cài đặt phần mềm độc hại
Trong tập tin : /etc/passwd and /etc/shadow có thể bị thêm tài khoản UID 0 hoặc tài khoản ứng dụng có mật khẩu hoạt động.
$HOME/.ssh/authorized_keys entries: các thư mục ủy quyền mới tạo ra có thể là backdoor dùng để truy cập trái phép.
Back doors via [x]inetd:
- /etc/inetd.conf
- /etc/xinetd.conf, /etc/xinetd.d
Ngoài ra chúng ta cần kiểm tra ra soát các tập tin:
Tập tin Rogue "set-UID"
Thư mục có tên bắt đầu bằng "."
Các tệp thông thường trong thư mục / dev
Các tệp được sửa đổi gần đây.
Tập tin lớn.
Bài viết mang tính chất liệt kê nhiều, chủ yếu diễn giải chung trên hệ thống Linux với mỗi hệ điều hành họ Linux khác nhau sẽ có những thay đổi chi tiết khác. Nếu có câu hỏi nào các bạn có thể comment ở dưới.
Via: Hal PomeranzHal Pomeranz
Chỉnh sửa lần cuối: