https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Behandlung_kompromitierter_Systeme
Behandlung kompromitierter Systeme - Versionsgeschichte
2026-06-28T22:32:23Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Behandlung_kompromitierter_Systeme&diff=33341&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „=Anmeldungen am System= ;Ist noch jemand eingelogt? *w ;Wer wann eingelogt? *last ;Wer war schon einmal eingelogt? *lastlog =Kontrolle Auslastung / Performanc…“
2022-05-17T05:52:00Z
<p>Die Seite wurde neu angelegt: „=Anmeldungen am System= ;Ist noch jemand eingelogt? *w ;Wer wann eingelogt? *last ;Wer war schon einmal eingelogt? *lastlog =Kontrolle Auslastung / Performanc…“</p>
<p><b>Neue Seite</b></p><div>=Anmeldungen am System=<br />
;Ist noch jemand eingelogt?<br />
*w<br />
;Wer wann eingelogt?<br />
*last<br />
;Wer war schon einmal eingelogt?<br />
*lastlog<br />
<br />
=Kontrolle Auslastung / Performance=<br />
;Auslastung?<br />
*top<br />
<br />
=Kontrolle von Verzeichnissen=<br />
;inklusive versteckter Dateien<br />
;Augenmerk auf Datum von Dateiänderungen, Eigentümer von Dateien, auffälligen Namen<br />
*ls -Qartl<br />
:/tmp/<br />
:/root/<br />
:/home/*<br />
:/var/www/ <br />
:...<br />
;seltsame Dateinamen<br />
*ls -lQ /usr/bin/smbd* <br />
-rwxr-xr-x 1 root root 0 Aug 11 16:54 "<span style=color:red>"/usr/bin/smbd -D"</span><br />
*ls -l ttyo*<br />
<span style=color:red>-</span>rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoa<br />
<span style=color:red>-</span>rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyob<br />
<span style=color:red>-</span>rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoc<br />
<br />
=Kontrolle Logdateien=<br />
:/var/log/auth<br />
:/var/log/syslog<br />
;Beispiele<br />
*grep -i accepted /var/log/auth.log<br />
<br />
=Kontrolle der laufenden Prozesse=<br />
*top<br />
*ps<br />
*pstree<br />
<br />
=Kontrolle der offenen Ports=<br />
==Server Ports==<br />
;tcp<br />
*netstat -ltnp<br />
;udp<br />
*netstat -lunp<br />
;unix<br />
*netstat -lxnp<br />
==Offene Verbindungen==<br />
;tcp<br />
*netstat -tnp<br />
;udp<br />
*netstat -unp<br />
;unix<br />
*netstat -xnp<br />
<br />
=Kontrolle crontabs=<br />
*crontab -l<br />
*crontab -l -u benutzername<br />
*/etc/cron*<br />
<br />
=Kontrolle der History von root und Benutzern=<br />
~/.bash_history<br />
=Kontrolle Schnittstellen=<br />
;Promisc Mode<br />
* ip link show eth0 <br />
2: eth0: <BROADCAST,MULTICAST,<span style=color:red>PROMISC,UP</span>,LOWER_UP> mtu 1500 <br />
link/ether 96:00:00:4b:da:0a brd ff:ff:ff:ff:ff:ff<br />
=Links=<br />
*https://docplayer.org/7248498-Linux-in-der-computer-forensik.html</div>
Thomas.will