Linux 主要ディレクトリ一覧 for Forensics

/etc [%SystemRoot%/System32/config]
– Primary system configuration directory
– Separate configuration files/dirs for each app
/var/log [Windows event logs]
– Security logs, application logs, etc
– Logs normally kept for about 4-5 weeks
– User data and user configuration information

Basic System Profiling
Linux distro name/version number:
Installation date:
Look at dates on /etc/ssh/ssh_host_*_key files
Computer name:
/etc/hostname (also log entries under /var/log)
IP address(es):
/etc/hosts (static assignments)
/var/lib/dhclient, /var/log/* (DHCP)

Default Time Zone
• /etc/localtime stores default time zone data
• Binary file format:
– Use "zdump" on Linux
– Look for matching file under /usr/share/zoneinfo

User Accounts
• Basic user data in /etc/passwd
Any UID 0 account has admin privs
• MD5 password hashes in /etc/shadow
(brute force with "John the Ripper")
• /etc/sudoers may indicate users w/ admin privs
• Group memberships in /etc/group

User Login History
• /var/log/wtmp
– Shows user, source, time, and duration of login
– Need to use Linux "last" command to view
• Other logs that may contain useful data:
– /var/log/auth.log
– /var/log/secure
– /var/log/audit/audit.log

There's No Place Like $HOME
• /home/ is common convention
• Home dir for admin user is /root
• "Hidden" files/dirs have names starting w/ "."
– Contain app-specific configuration information
– Sometimes executed at login
– Possible back-door or persistence mechanism

Web Browser Artifacts
• Firefox and Chrome are common browsers
• File formats the same as Windows (SQLite DBs)
• Files under user home directories:
– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default

Command History
• $HOME/.bash_history
• Unfortunately not time-stamped by default
• Can be modified/removed by user
• Sudo history in:
– /var/log/auth.log
– /var/log/sudo.log

• Standard remote access/file xfer mechanism
• Useful files in $HOME/.ssh:
known_hosts – hosts user connected to from here
authorized_keys – public keys used for logins to here
id_rsa – private keys used to log in elsewhere

Persistence Mechanisms
• Service start-up scripts
/etc/inittab, /etc/init.d, /etc/rc.d (traditional)
/etc/init.conf, /etc/init (Upstart)
• Scheduled tasks ("cron jobs")


• Linux graphical file browser
• Like Windows Explorer
• Thumbnails: $HOME/.thumbnails
• Recent files: $HOME/.recently-used.xbel

Back Doors
• Deliberate malware/Trojan horse installs
• In /etc/passwd and /etc/shadow:
– Extra UID 0 accounts
– "Application" accounts with active passwords
• New $HOME/.ssh/authorized_keys entries
• Back doors via [x]inetd
/etc/xinetd.conf, /etc/xinetd.d

Also Watch Out For…
• Rogue "set-UID" files
• Directories w/ names that start with "."
• Regular files under /dev directory
• Recently modified files
• Large files
posted by 貝貝 at 09:21| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする

Linux コマンド一覧 for Forensics

fdisk -l パーティションの確認 ハードディスクは /dev/sda /dev/sdb …
df 各パーティションのマウント状況
demsg デバイスドライバ関連のメッセージ表示 通常、grepやmoreと組み合わせる
ailias コマンドの別名を登録
basename パス名からファイル名を取り出す
cal カレンダーを表示する
cat ファイルの内容を表示する
cd カレント・ディレクトリの変更
chgrp ファイルやディレクトリの所属グループを変更
chmod ファイルやディレクトリのパーミッションを変更
chown ファイルやディレクトリの所有者を変更
clear 画面をクリアする
compress ファイルの圧縮/復元(*.Z)
cp ファイルやディレクトリをコピーする
crontab ジョブを自動実行する
cut 文字列を切り出す
date 現在の時刻を表示/設定する
df ディスク使用量を調べる@
diff ファイルの内容の違いを調べる
du ディスク使用量を調べるA
echo 文字列や変数の値を表示
exit ログアウトする
find ファイルの検索
ftp FTPでファイルを転送する
grep 文字列を検索する
groupadd グループを追加する
groupdel グループを削除する
groupmod グループの設定を変更
gunzip 圧縮ファイルの復元(*.gz)
gzip ファイルの圧縮/復元(*.gz)
head ファイルの先頭部分を表示する
history コマンドの履歴を表示
hostname 現在のホスト情報を表示
id ユーザー・グループIDを表示する
jobs バックグラウンドジョブを表示
kill プロセスまたはジョブを終了する
less ファイルの内容を1画面ごとに表示するA
ln ファイルやディレクトリにリンクを設定
ls ファイル・ディレクトリ情報を表示する
mail メールを送受信する
man コマンドのマニュアルを表示
mkdir ディレクトリを作成する
more ファイルの内容を1画面ごとに表示する@
mv ファイルの移動/ファイル名の変更
netstat 現在のネットワーク状況を表示
nohup ログアウト後もプログラムを実行する
passwd パスワードを変更する
ping ホストとの接続確認
ps 実行中のプロセスを表示
pwd カレント・ディレクトリの表示
rcp リモート・システム間でのファイルコピー
rm ファイルやディレクトリを削除する
rmdir ディレクトリを削除する
rsh リモート・マシンにコマンドを送る
sed 文字を変換する
shutdown システムを停止する
sleep 一定時間スリープする
sort ファイル行を並び替える
split ファイルを分割する
su 他のユーザーに切り替える
sync バッファの内容をディスクに書き込む
tail ファイルの末尾を表示する
tar アーカイブの作成/復元
telnet リモート・マシンにログインする
touch ファイルのタイムスタンプを更新
unalias コマンドの別名を解除
uncompress 圧縮ファイルの復元(*.Z)
unzip 圧縮ファイルの復元(*.zip)
useradd ユーザーを追加する
userdel ユーザーを削除する
usermod ユーザーの設定を変更
vi テキストファイルを編集する
wc テキストファイルの大きさを調べる
which コマンドのパスを表示
who ログインしているユーザーを調べる
zcat 圧縮ファイルの内容表示
zip ファイルの圧縮(*.zip)
posted by 貝貝 at 09:18| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする


RedHat メモ

 shutdown -h now

 shutdown -r now

 mount /mnt/cdrom
 umount /mnt/cdrom

 設定表示コマンド ifconfig
 IPアドレス等 /etc/sysconfig/network-scripts/ifcfg-eth0
 デフォルトゲートウェイ等 /etc/sysconfig/network
 ネットワークの再起動コマンド /etc/rc.d/init.d/network restart

 rpm -ivh xxxx.rpm

 ポート設定 /etc/services
 サービスの実行定義ファイル /etc/xinetd.d/xxxxxd ←--サービス名--
 サービスの自動起動有効化・無効化コマンド chkconfig telnetd on (off)
 サービスの手動起動コマンド /etc/rc.d/init.d/xxxxd start
 サービスの再起動コマンド /etc/rc.d/init.d/xxxxxd restart

実行中のプロセス表示 ps -ef

 起動 /etc/rc.d/init.d/httpd start
 設定 /etc/httpd/conf/httpd.conf
 ログ(デフォルト) /etc/httpd/conf/logs/access_log

 未読メール /var/spool/mail/(ユーザー名)
 既読メール /home/(ユーザー名)/mbox
 SMTP&POPログ /var/log/maillog
 外部Relayの許可 /etc/mail/access に許可するホストを追加して、Sendmailを再起動
posted by 貝貝 at 17:17| Comment(0) | TrackBack(0) | Linux | このブログの読者になる | 更新情報をチェックする


FreeBSD 日本語キーボード設定


 kbdcontrol -l /usr/share/syscons/keymaps/jp.106.kbd

posted by 貝貝 at 11:11| Comment(0) | TrackBack(0) | Linux | このブログの読者になる | 更新情報をチェックする

FreeBSD ファイル名の一括変更シェル

● 末尾のDOS禁則文字を削除
# 末尾に"2,"を含むファイル全ての、末尾3文字を削除する
echo start


for file in `find /root/DISK2/mail-selected -name "*2,"`
cnt=$(($cnt + 1))
newfile=`echo ${file} | awk -f mojicut`
mv ${file} ${newfile}

echo rename ${cnt} file
echo end

-------------------- awkファイル[mojicut]の内容 ---------------

{print substr($0,1,length($0)-3)}

posted by 貝貝 at 10:55| Comment(0) | TrackBack(0) | Linux | このブログの読者になる | 更新情報をチェックする


Linux ぶら下げたHDのマウント

   ブートしたマスターHD --> /dev/hda
   ぶら下げたスレーブHD --> /dev/hdb
   fdisk /dev/hdb
  @ mkdir /HD2-1 ===任意のマウントポイントを作成
  A mount -t vfat /dev/hdb1 /HD2-1
  B df ==マウントの確認

   ブートしたマスターHD --> /dev/ad0
   ぶら下げたスレーブHD --> /dev/ad1
   fdisk /dev/ad1
  @ mkdir /HD2-1 ===任意のマウントポイントを作成
  A mount -t msdos /dev/ad1s0 /HD2-1
  B df ==マウントの確認
posted by 貝貝 at 19:13| Comment(0) | TrackBack(0) | Linux | このブログの読者になる | 更新情報をチェックする


Linux シングルユーザーモード


FreeBSD 5.xの場合は、起動時のメニューから「4」を押せばシングルユーザーモードに入ります。

FreeBSD 4.xの場合、起動時、バトンがくるくる回りながら、kernelを10秒後にロードするという箇所が現れます。そこで、Enter以外のキーを押すと、ブロンプトが出てブート・オプションを選べます。シングルユーザーモードで起動しますので、

boot -s




# fsck -p
# mount -u /
# mount -a -t ufs


posted by 貝貝 at 19:45| Comment(0) | TrackBack(0) | Linux | このブログの読者になる | 更新情報をチェックする