คำถามติดแท็ก forensics

ฉันพบว่าเซิร์ฟเวอร์ของฉันถูกแฮ็กและติดเชื้อบ็อตเน็ตจีนที่รู้จัก มันเป็นเครื่องต้นแบบ / การทดสอบเครื่องเสมือนที่มี IP แบบคงที่ของตัวเอง (ที่อยู่ในสหรัฐฯ) ดังนั้นจึงไม่มีอันตรายใด ๆ เกิดขึ้น ตอนนี้ฉันอยากรู้ว่า IP / s ใดที่ใช้ในการบุกรุกเพื่อทราบว่าการโจมตีเกิดจากประเทศจีนหรือไม่ มีวิธีดูประวัติของการเชื่อมต่อที่ได้รับบน ssh บนเซิร์ฟเวอร์หรือไม่? แก้ไข: ระบบคือ Linux Debian 7

42 networking  ssh  logs  ip  forensics 

เครื่องอาร์ชของฉันบางครั้งแฮงค์ก็ไม่ตอบสนองใด ๆ กับเมาส์หรือแป้นพิมพ์ เคอร์เซอร์ถูกตรึง Ctrl-Alt-Backsp จะไม่หยุด X11 และ ctrl-alt-del ไม่ทำอะไรเลย cpu, เครือข่ายและกิจกรรมของดิสก์ใน conky และ icewm หยุดการอัพเดต ในไม่กี่นาทีพัดลมก็จะเปิดขึ้น วิธีเดียวที่จะทำให้คอมพิวเตอร์ทำอะไรเลยก็คือปิดเครื่อง เมื่อบู๊ตเครื่องหน้าจอแสดงอุณหภูมิของ CPU จะแสดง 70 ถึง 80C ก่อนที่จะหยุดฉันมักจะทำกิจกรรมความเข้มต่ำเช่นการท่องเว็บรับประมาณ 50C บันทึกไม่มีอะไรพิเศษเมื่อเทียบกับการปิดปกติ ตัวตรวจสอบหน่วยความจำทำงานได้ดีโดยไม่มีข้อบกพร่อง ฉันจะตรวจสอบได้อย่างไรว่าทำไมถึงวางสาย มีข้อมูลพิเศษที่ฉันสามารถหาเบาะแสได้หรือไม่? มีอะไรที่รุนแรงน้อยไปกว่าการปิดเครื่องเพื่อรับการกระทำบางอย่างถ้ามีกระสุน จำกัด หรือเสียงเตือน แต่อาจให้เบาะแสหรือไม่ เครื่องนี้เป็นแล็ปท็อป Gateway P6860 17 "(เทอะทะ แต่ทรงพลัง) และใช้งาน Arch 64 บิตเป็นรุ่นล่าสุด (ณ เดือนมีนาคม 2011) ฉันมี Arch มาเป็นเวลานานโดยไม่มีปัญหานี้เปลี่ยนเป็น …

19 linux  arch-linux  logs  kernel-panic  forensics 

ฉันรู้ว่าการถ่ายโอนข้อมูลภาพหน่วยความจำใน Windows (เช่น -ditit) แต่ฉันไม่รู้วิธีถ่ายโอนข้อมูลอิมเมจหน่วยความจำใน Linux ฉันต้องการรับภาพหน่วยความจำใน Linux และจาก Linux ไปยัง Linux ด้วยการเชื่อมต่อ ssh หรืออะไรบางอย่าง ฉันจะเข้าใช้งาน Linux ได้อย่างไร

18 memory  forensics  dump 

ดังนั้นเมื่อเร็ว ๆ นี้ฉันพบว่ามีบางคนใช้คอมพิวเตอร์ของฉันโดยไม่ได้รับอนุญาตการเรียกดูโฟลเดอร์ ฯลฯ .... ฉันสามารถเปลี่ยนรหัสผ่านทั้งหมดของฉันได้ทันที แต่ฉันอยากรู้ว่าสิ่งที่ผู้บุกรุกกำลังมองหาคืออะไร ดังนั้นฉันอยากจะตั้งกับดัก (ยิ้มร้าย) ซอฟต์แวร์ใดที่จะตรวจสอบกิจกรรมใด ๆ ในคอมพิวเตอร์ของฉัน ในขณะที่ฉันรู้ว่าการจับภาพหน้าจอของฉันจะทำงานที่นี่ ฉันอยากจะใช้ logfile ตัวอย่างเช่น: /var/log/activity.log [1 ส.ค. 2010 20:23] / usr / bin / thunar access / มัลติมีเดีย / cctv-records / [1 ส.ค. 2010 20:25] / usr / bin / mplayer เข้าถึง /multimedia/cctv-records/00232.avi [3 ส.ค. 2010 2010 02:34] …

16 security  monitoring  logs  forensics 

ฉันไม่สามารถหาคำตอบได้ทุกที่ ฉันจะรู้ได้อย่างไรว่าใครเปลี่ยนชื่อไดเรกทอรี ls -al แสดงเฉพาะชื่อผู้ใช้ที่สร้าง dirctory

11 files  rename  forensics 

ฉันจะรู้ได้อย่างไรว่าใครรันคำสั่งเฉพาะและเทอร์มินัลใดที่ใช้ในการรัน ต้นฉบับ : ฉันจะรู้ได้อย่างไรว่าคำสั่งเฉพาะเจาะจงถูกเรียกใช้โดยใครและจะรู้เกี่ยวกับเทอร์มินัลของฉัน

11 process  forensics