|
strace -o out telnet 192.168.100.100
o参数的含义是将strace的输出信息生成到out文件中,这个文件名是可以随意制定的.
我们打开out文件会发现大量的系统调用信息,我们关心的主要是open这个系统调用的信息,open是用来打开文件的,不仅调用动态库要先用open打开,读取配置文件也使用open,所以用sed写一个简单的脚本就可以输出out文件中所有的open信息
sed -n -e ‘/^open/p’ out
输出信息如下:
open(“/etc/ld.so.preload”,O_RDONLY) = 3
open(“/lib/libutil.so.1”,O_RDONLY) = 3
open(“/usr/lib/libncurses.so.5”,O_RDONLY) = 3
open(“/lib/i686/libc.so.6”,O_RDONLY) = 3
open(“/etc/resolv.conf”,O_RDONLY) = 3
open(“/etc/nsswitch.conf”,O_RDONLY) = 3
open(“/etc/ld.so.cache”,O_RDONLY) = 3
open(“/lib/libnss_files.so.2”,O_RDONLY) = 3
open(“/etc/services”,O_RDONLY) = 3
open(“/etc/host.conf”,O_RDONLY) = 3
open(“/etc/hosts”,O_RDONLY) = 3
open(“/lib/libnss_nisplus.so.2”,O_RDONLY) = 3
open(“/lib/libnsl.so.1”,O_RDONLY) = 3
open(“/var/nis/NIS_COLD_START”,O_RDONLY) = 3
open(“/lib/libnss_dns.so.2”,O_RDONLY) = 3
open(“/lib/libresolv.so.2”,O_RDONLY) = 3
open(“/root/.telnetrc”,O_RDONLY) = -1 ENOENT (No such file or directory)
open(“/usr/share/terminfo/l/linux”,O_RDONLY) = 4
从输出中可以发现ldd显示不出来的几个库
/lib/libnss_dns.so.2,
/lib/libresolv.so.2,
/lib/libnsl.so.1,
/lib/libnss_nisplus.so.2,
/lib/libnss_files.so.2
strace -o aa -ff -p PID会产生aa名称开头的多个文件
grep open aa* | grep -v -e No -e null -e denied| grep WR 查看其打开调用的文件信息.
16. 要把日志发送到日志主机步骤:
a.vi /etc/syslog.conf *.* @192.168.20.163 把所有日志发送到192.168.20.163
b.service syslog restart
c.在192.168.20.163安装kiwisyslogd
d.远程登陆,故意输入错误密码,可看到日志主机上马上有报警,也可以tcpdump port 514观察
17. 如果知道黑客是0927入侵的,则:
touch -t 09270000 /tmp/a
find / ( -newer /tmp/a -o -cnewer /tmp/a ) -l
这样那天改变和创建的文件被列出
18. 将硬盘数据取走用于数据分析:
整盘复制
dd if=/dev/sda of=/dev/sdb bs=1024
分区复制 测试过
dd if=/dev/sda1 of=/abc bs=1024 这里是保存在了根分区,用mount查看是sda2
启动另一个linux
输入:mount /dev/sda2 /mnt
这里可以看到刚才的abc文件,输入:mount aa /tmp -o loop
这里看到就是刚才镜像的文件内容 (编辑:南平站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
