تیم آبی

برگه رمز هایی برای شکاران تهدید

سرآغاز آماده سازی امن سازی شناسایی دامنه محافظت و دفاع نظارت تحلیل پس از حمله روش ها و نکته ها لیست کنترل مدیریت حادثه شناسایی حادثه

نظارت

نظارت بر شبکه

دستور TCPDUMP

نمایش ترافیک به ASCII (-A) یا HEX (-X):

# tcpdump -A
#tcpdump -X

نمایش timestamps ترافیک ها و عدم تبدیل آدرس ها و کم صدا:

# tcpdump -tttt -n -vv

شناسایی ارسال کننده ها بعد از دریافت 1000 بسته (مشکوک حمله DDoS):

# tcpdump -nn -c 1000 jawk '{print $3}' I cut -d. 
-fl-4 I sort -n I uniq -c I sort -nr

ضبط کلیه بسته های در و بدل شده در همه interface میزبان ها و پورت 80 و ذخیره آن ها در فایل:

# tcpdump -w <FILENAME>,pcap -i any dst <TARGET IP
ADDRESS> and port 80

نمایش ترافیک بین دو میزبان:

# tcpdump host 10.0.0.1 && host 10.0.0.2

نمایش تمام ترافیک به غیر از محدوده شبکه و میزبان مشخص:

# tcpdump not net 10.10 && not host 192.168.1,2

نمایش ترافیک بین میزبان 1 و میزبان های دیگر:

#tcpdump host 10,10,10.10 && \(10,10.10.20 or
10,10,10,30\)

ذیخره فایل pcap در اندازه مشخص:

# tcpdump -n -s65535 -C 1000 -w '%host_%Y-%m­%d_%H:%M:%S.pcap'

ذخیره فایل pcap file در سیستم دیگر:

# tcpdump -w - I ssh <REMOTE HOST ADDRESS> -p 50005
"cat - > /tmp/remotecapture.pcap"

بررسی و جست و جو ترافیک ها برای کلمه pass:

# tcpdump -n -A -s0 I grep pass

بررسی و جست و جو ترافیک ها برای پروتکل های clear text:

# tcpdump -n -A -s0 port http or port ftp or port
smtp or port imap or port pop3 I egrep -i
'pass=lpwd=llog=llogin=luser=lusername=lpw=lpassw=IP
asswd=lpassword=lpass: I user: lusername: I password: I log
in: I pass I user ' --color=auto --line-buffered -B20

بررسی توان یا throughput:

# tcpdump -w - lpv -bert >/dev/null

فیلتر ترافیک ipv6:

# tcpdump not ip6

فیلتر ترافیک ipv4:

# tcpdump ip6

اسکریپت ذخیره سازی ترافیک چندین interface در فایل به صورت زمان دار:

#!/bin/bash
tcpdump -pni any -s65535 -G 3600 -w any%Y-%m­
%d_%H:%M:%S.pcap

اسکریپت انتقال فایل های ترافیک tcpdump به محل های دیگر:

#!/bin/bash
while true; do
sleep 1;
rsync -azvr -progress <USER NAME>@<IP
ADDRESS>:<TRAFFIC DIRECTORY>/, <DESTINATION
DIRECTORY/.
done

جست و جو گراهینامه self-signed و مشکوک:

# tcpdump -s 1500 -A '(tcp[((tcp[12:1] & 0xf0) >>
2)+5:1] = 0x01) and (tcp[((tcp[12:1] & 0xf0) >>
2) : 1] : 0x16)'

نمایش گواهینامه SSL:

# openssl s_client -connect <URL>:443
# openssl s_client -connect <SITE>:443 </dev/null
2>/dev/null I sed -ne '/-BEGIN CERTIFICATE-/,/-END
CERTIFICATE-Ip' > <CERT>.pem

بررسی گواهینامه های Self-Signed:

# openssl x509 -text -in <CERT>.pem

#openssl x509 -in <CERT>,pem -noout -issuer -
subject -startdate -enddate -fingerprint

# openssl verify <CERT>.pem

اسختراج نام سرور در گواهینامه ها:

# tshark -nr <PCAP FILE NAME> -Y "ssl. handshake. ciphersuites" -Vx I grep "Server Name:" I sort I uniq -c I sort -r

اسختراج اطلاعات درباره گواهینامه:

# ssldump -Nr <FILE NAME>.pcap I awk 'BEGIN {c=0;}
{ if ($0 � / A [ ]+Certificate$/) {c=l; print
"========================================";} if
($0 !�/ A +/) {c=0;} if (c==l) print $0; }'

بررسی وضیعت برنامه های و استفاده هر کدام از پورت ها :

netstat -aon | findstr '[port_number]'
tasklist | findstr '[PID]'
tasklist | findstr '[application_name]'
netstat -aon | findstr '[PID]'

دستور TSHARK

دریافت interface های شبکه:

> tshark -D

بررسی چندین interface شبکه:

> tshark -i ethl -i eth2 -i eth3

ذخیره pcap و غیرفعال سازی name resolution:

> tshark -nn -w <FILE NAME>,pcap

نمایش تاریخ و timestamp:

> tshark -t a

دریافت ترافیک arp یا icmp:

> tshark arp or icmp

ذخیره ترافیک بین [میزبان ها] و یا [شبکه ها]:

> tshark "host <HOST l> && host <HOST 2>"
> tshark -n "net <NET 1> && net <NET 2>"

فیلتر هاست ها و ip ها (یا به غیر از ip شما):

> tshark -r <FILE NAME>,pcap -q -z hosts,ipv4
> tshark not host <YOUR IP ADDRESS>

به غیر از ARP و UDP:

> tshark not arp and not (udp.port -- 53)

Replay های یک فایل pcap:

> tshark -r <FILE NAME>.pcap

Replay های یک فایل pcap و استخراج میزبان ها و ip ها:

> tshark -r <FILE NAME>.pcap -q -z hosts

آماده سازی ذخیره ترافیک(در مدت 60 ثانیه):

> tshark -n -a files:10 -a filesize:100 -a
duration:60 -w <FILE NAME>,pcap

دریفات ip های منبع و مقصد:

> tshark -n -e ip.src -e ip.dst -T fields -E
separator=, -Rip

دریافت ip مربوط به منبع dns و query های آن:

> tshark -n -e ip.src -e dns,qry.name -E
separator=';' -T fields port 53

دریافت url های و درخواست http میزبان:

> tshark -R http.request -T fields -E separator=';'
-e http.host -e http.request.uri

دریافت های و درخواست http میزبان:

> tshark -n -R http.request -T fields -e http.host

بیشترین ارسال های به ip مقصد:

> tshark -n -c 150 I awk '{print $4}' I sort -n I
uniq -c I sort -nr

آمار مربوط به پروتکل ها:

> tshark -q -z io,phs -r <FILE NAME>.pcap
> tshark -r <PCAP FILE>,cap -R http.request -T
fields -e http.host -e http.request.uri lsed -e
'sf?,*$//' I sed -e 's#"(,*)t(,*)$#http://l2#' I
sort I uniq -c I sort -rn I head
> tshark -n -c 100 -e ip.src -R "dns.flags.response
eq 1" -T fields po rt 53
> tshark -n -e http.request.uri -R http.request -T
fields I grep exe
> tshark -n -c 1000 -e http.host -R http.request -T
fields port 80 I sort I uniq -c I sort -r

استخراج مقادیر درخواست های POST

tshark -Y "http.request.method==POST" -T fields -e http.file_data -r keeptryin.pcap

استخراج مقدار response در DNS

tshark -Y "dns.txt" -T fields -e dns.qry.name -n -r keeptryin.pcap

دستور SNORT

اجرای تست بر روی فایل تنظیمات snort:

# snort -T -c /<PATH TO SNORT>/snort/snort.conf

روش استفاده از snort(v=جزییات,d=دریافت payload های بسته):

# snort -dv -r <LOG FILE NAME>, log

پاسخ به فایل گزارشات و بررسی با ترافیک icmp:

# snort -dvr packet.log icmp

گزارشات به صورت ASCII:

# snort -K ascii -l <LOG DIRECTORY>

گزارشات به صورت binary:

snort -l <LOG DIRECTORY>

ارسال event به console:

# snort -q -A console -i eth0 -c
/etc/snort/snort.conf
# snort -c snort.conf -l /tmp/so/console -A console

ایجاد یک rule برای snort و ذخیره سازی آن:

# echo alert any any <SNORT RULE> > one.rule

بررسی و تست یک rule:

# snort -T -c one.rule

بررسی و تست یک rule و نتیجه آن در console ور مسیر گزارشات:

# mkdir ,/logs
# snort -vd -c one.rule -r <PCAP FILE NAME>,pcap -A
console -l logs

ابزار های بررسی ترافیک های شبکه یا فایل های PCAP

ابزار EDITCAP

ویرایش فایل های pcap (جداسازی 1000 بسته):

> editcap -F pcap -c 1000 orignal.pcap
out_split,pcap

ویرایش فایل های pcap (جداسازی بسته ها در هر ساعت):

> editcap -F pcap -t+3600 orignal.pcap
out_split.pcap

ابزار MERGECAP

برای ادغام چندین فایل pcap:

> mergecap -w merged_cap.pcap capl.pcap cap2.pcap
cap3.pcap

تکنیک HONEY

ویندوز

Honey Port ها در ویندوز:

منبع. http://securityweekly.com/wp­ content/uploads/2013/06/howtogetabetterpentest.pdf

Step 1: ایجاد rule در فایروال برای شناسایی و عدم اجازه به کلیه ارتباطات پورت 3333

C:\> echo @echo off for /L %%i in (1,1,1) do @for /f
"tokens=3" %%j in ('netstat -nao A l find "'":3333 A "')
[email protected] /f "tokens=l delims=:" %%k in ("%%j") do
netsh advfirewall firewall add rulename="HONEY TOKEN
RULE" dir=in remoteip=%%k localport=any protocol=TCP
action=block >> <BATCH FILE NAME>.bat

Step 2: اجرای اسکریپت batch

C:\> <BATCH FILE NAME>,bat

Honey Ports اسکریپت در powershell

Ref. https://github.com/Pwdrkeg/honeyport/blob/master/hon eyport.psl

Step 1: دریافت اسکریپت powershell

C: \> "%ProgramFiles%\Internet Exp lo rer\iexplo re. exe"
https://github.com/Pwdrkeg/honeyport/blob/master/hon
eyport.psl

Step 2: اجرای اسکریپت powershell

C:\> honeyport.psl

Honey Hashe ها برای ویندوز (همچنین روش شناسایی Mimikatz) :

منبع. https://isc.sans.edu/forums/diary/Detecting+Mimikatz +Use+On+Your+Network/19311/

Step 1: ایجاد یک Honey Hash تقلبی. از کلمه عبور تقلبی استفاده کنید و cmd را باز نگهدارید

C:\> runas
/user:yourdomain.com\fakeadministratoraccount
/netonly cmd.exe

Step 2: جست و جو برای تلاش از راه دور

C:\> wevtutil qe System /q:"*[System
[(EventID=20274)]]" /f:text /rd:true /c:1
/r:remotecomputername

Step 3: جست و جو برای تلاش های ورود

C:\> wevtutil qe Security /q:"*[System[(EventID=4624
or EventID=4625)]]" /f:text /rd:true /c:5
/r:remotecomputername

Step 4: (اختیاری) با استفاده از مکث 30 ثانیه ای نمایش داده شود

C:\> for /L %i in (1,0,2) do (Insert Step 2) &
(Insert Step 3) & timeout 30

لینوکس

Honey Port ها در لینوکس:

منبع. http://securityweekly.com/wp­ content/uploads/2013/06/howtogetabetterpentest.pdf

Step 1: ایجاد یک حلقه برای رد کلیه درخواست های به پورت 2222

# while [ 1 ] ; echo "started" ; do IP='nc -v -l -p
2222 2>&1 l> /dev/null I grep from I cut -d[ -f 3 I
cut -d] -f 1'; iptables -A INPUT -p tcp -s ${IP} -j
DROP ; done

اسکریپت Honey Port در لینوکس :

منبع. https://github.com/gchetrick/honeyports/blob/master/ honeyports-0.5.py

Step 1: دریافت اسکریپت پایتون

# wget
https://github.com/gchetrick/honeyports/blob/master/
honeyports-0.5.py

Step 2: اجرای اسکریپت پایتون

# python honeyports-0.5.py -p <CHOOSE AN OPEN PORT>
-h <HOST IP ADDRESS>

شناسایی rogue scanning با استفاده از Labrea Tarpit:

# apt-get install labrea
# labrea -z -s -o -b -v -i eth0 2>&1 | tee -a log.txt

ابزار NETCAT

استفاده از netcat برای شناسایی اسکن های تهدید آمیز:

> nc -v -k -l 80
> nc -v -k -l 443
> nc -v -k -l 3389

نظارت بر PASSIVE DNS

استفاده از dnstop برای نظارت بر درخواست های DNS در هر موقعیتی:

# apt-get update
# apt-get install dnstop
# dnstop -l 3 <INTERFACE NAME>

مرحله 1: کلید 2 را فشار دهید تا نام ها نمایش داده شود

استفاده از dnstop برای نظارت بر درخواست های dns داخل فایل pcap:

# dnstop -l 3 <PCAP FILE NAME> I <OUTPUT FILE
NAME>,txt

روش های LOG AUDITING

ویندوز

افزایش اندازه Log به منظور ارتقا auditing:

C:\> reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Ap
plication /v MaxSize /t REG_DWORD /d 0x19000
C:\> reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Se
curity /v MaxSize /t REG_DWORD /d 0x64000
C:\> reg add
HKLM\Software\Policies\Microsoft\Windows\EventLog\Sy
stem /v MaxSize /t REG_DWORD /d 0x19000

بررسی تنظیمات Security log:

C:\> wevtutil gl Security

برای تنظیمات audit policies:

C:\> auditpol /get /category:*

تنظیم Log Auditing موفق و یا ناموفق در تمامی دسته بندی ها:

C:\> auditpol /set /category:* /success:enable
/failure:enable

تنظیم Log Auditing موفق و یا ناموفق در تمامی زیر دسته ها:

C: \> auditpol /set /subcategory: "Detailed File
Share" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"File System"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Security System
Extension" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"System Integrity"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Security State
Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other System
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"System Integrity"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Logon"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Logoff"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Account Lockout"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Logon/Logoff
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Network Policy
Server" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Registry"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"SAM"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Certification
Services" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Application
Generated" /success:enable /failure:enable
C: \> auditpol / set /subcategory: "Handle
Manipulation" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"file Share"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"filtering Platform
Packet Drop" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Filtering Platform
Connection" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Object Access
Events" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Detailed File
Share" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Sensitive Privilege
Use" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Non Sensitive
Privilege Use" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Other Privilege Use
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Process
Termination" /success:enable /failure:enable
C:\> auditpol /set /subcategory: "DPAPI Activity"
/success:enable /failure:enable
C: \> audit pol /set /subcategory: "RPC Events"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Process Creation"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Audit Policy
Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory: "Authentication
Policy Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory: "Authorization
Policy Change" /success:enable /failure:enable
C: \> audit pol /set /subcategory: "MPSSVC Rule-Level
Policy Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Filtering Platform
Policy Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Policy Change
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"User Account
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Computer Account
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Security Group
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Distribution Group
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Application Group
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Account
Management Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Directory Service
Changes" /success:enable /failure:enable
C: \> auditpol / set /subcategory: "Directory Service
Replication" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Detailed Directory
Service Replication" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Directory Service
Access" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Kerberos Service
Ticket Operations" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Account Logan
Events" /success:enable /failure:enable
C: \> audit pol /set /subcategory: "Kerberos
Authentication Service" /success:enable
/failure:enable
C:\> auditpol /set /subcategory:"Credential
Validation" /success:enable /failure:enable

لیست گزارشات موجود و اندازه و مجاز:

PS C:\> Get-Eventlog -list

لیست جزئی از کلید های نظارت بر Security Log Auditing events :

PS C:\> Get-Eventlog -newest 5 -logname application
I Format-List

نمایش گزارشات به صورت از راه دور:

PS C:\> Show-Eventlog -computername <SERVER NAME>

نمایش لیست event ها بر اساس Event ID:

PS C:\> Get-Eventlog Security I ? { $_.Eventid -eq
4800}
PS C:\> Get-WinEvent -FilterHashtable
@{LogName="Secu rity"; ID=4774}

ورود به حساب - Audit Credential Validation برای 14 روز اخیر:

PS C:\> Get-Eventlog Security
4768,4771,4772,4769,4770,4649,4778,4779,4800,4801,48
02,4803,5378,5632,5633 -after ((get-date).addDays(-
14))

حساب - ورود و خروج:

ا

PS C:\> Get-Eventlog Security
4625,4634,4647,4624,4625,4648,4675,6272,6273,6274,62
75,6276,6277,6278,6279,6280,4649,4778,4779,4800,4801
,4802,4803,5378,5632,5633,4964 -after ((get­
date).addDays(-1))

مدیریت حساب - مدیریت گروه برنامه های Audit:

PS C:\> Get-Eventlog Security
4783,4784,4785,4786,4787,4788,4789,4790,4741,4742,47
43,4744,4745,4746,4747,4748,4749,4750,4751,4752,4753
,4759,4760,4761,4762,4782,4793,4727,4728,4729,4730,4
731,4732,4733,4734,4735,4737,4754,4755,4756,4757,475
8,4764,4720,4722,4723,4724,4725,4726,4738,4740,4765,
4766,4767,4780,4781,4794,5376,5377 -after ((get­
date).addDays(-1))

ردیابی دقیق - Audit DPAPI Activity, Process Termination, RPC Events:

PS C:\> Get-EventLog Security
4692,4693,4694,4695,4689,5712 -after ((get­
date).addDays(-1))

دسترسی به سرویس دامین - Audit دسترسی به سرویس دایرکتوری:

PS C:\> Get-EventLog Security
4662,5136,5137,5138,5139,5141 -after ((get­
date).addDays(-1))

دسترسی به object - Audit اشتراک فایل, فایل سیستم, SAM, رجیستری, گواهینامه ها:

PS C:\> Get-EventLog Security
4671,4691,4698,4699,4700,4701,4702,5148,5149,5888,58
89,5890,4657,5039,4659,4660,4661,4663,4656,4658,4690
,4874,4875,4880,4881,4882,4884,4885,4888,4890,4891,4
892,4895,4896,4898,5145,5140,5142,5143,5144,5168,514
0,5142,5143,5144,5168,5140,5142,5143,5144,5168,4664,
4985,5152,5153,5031,5140,5150,5151,5154,5155,5156,51
57,5158,5159 -after ((get-date).addDays(-1))

Policy تغییر - Audit Policy تغییر, Microsoft Protection سرویس, Windows Filtering Platform:

PS C:\> Get-EventLog Security
4715,4719,4817,4902,4904,4905,4906,4907,4908,4912,47
13,4716,4717,4718,4739,4864,4865,4866,4867,4704,4705
,4706,4707,4714,4944,4945,4946,4947,4948,4949,4950,4
951,4952,4953,4954,4956,4957,4958,5046,5047,5048,544
9,5450,4670 -after ((get-date).addDays(-1))

Privilege استفاده - Audit مربوط به privilage استفاده از سرویس های حساس و غیرحساس:

PS C:\> Get-EventLog Security 4672,4673,4674 -after
((get-date),addDays(-1))

سیستم - Audit Security تغییر وضیعت, Security System پسوند, System تمامیت, System Events:

PS C:\> Get-Eventlog Security
5024,5025,5027,5028,5029,5030,5032,5033,5034,5035,50
37,5058,5059,6400,6401,6402,6403,6404,6405,6406,6407
,4608,4609 ,4616, 4621, 4610, 4611, 4614,
4622,4697,4612,4615,4618,4816,5038,5056,5057,5060,50
61,5062,6281 -after ((get-date).addDays(-1))

اضافه نمودن ماژول Microsoft IIS:

PS C:\> add-pssnapin WebAdministration
PS C:\> Import-Module WebAdministration

دریافت اطلاعات درباره IIS:

PS C:\> Get-IISSite

دریافت اطلاعات مسیر IIS:

PS C:\> (Get-WebConfigurationProperty
'/system.applicationHost/sites/siteDefaults' -Name
'logfile.directory').Value

تنظیم متغییر برای مسیر گزارش IIS (مسیر پیشفرض):

PS C:\> $LogDirPath =
"C:\inetpub\logs\LogFiles\W3SVCl"

دریافت فایل گزارشات 7 روز اخیر IIS:

PS C:\> Get-Child!tem -Path
C:\inetpub\logs\LogFiles\w3svcl -recurse I Where­
Object {$_. lastwritetime -lt (get-date).addDays(-7)}

نمایش فایل گزارشات IIS (استفاده از متغیر $LogDirPath):

PS C:\> Get-Content $LogDirPath\*, log I%{$_ -replace
'#Fields: ', "} I?{$_ -notmatch ""#'} I
ConvertFrom-Csv -Delimiter ' '

نمایش گزاراشت IIS:

PS C:\> Get-Content <!IS LOG FILE NAME>, log I%{$_ -
replace '#Fields: ', ''} 17{$_ -notmatch 'A#'} I
ConvertFrom-Csv -Delimiter ' '

جست و جو در فایل گزارشات IIS به شکل IP address 192.168.·:

PS C:\> Select-String -Path $LogDirPath\*, log -
Pattern '192,168,*,*'

جست و جو در فایل گزارشات IIS برای پیدا نمودن حمله SQL injection:

PS C:\> Select-String -Path $LogDirPath\*, log
'(@@version) I (sqlmap) I (Connect\(\)) I (cast\() I (char\(
) I ( bcha r\ () I ( sys
databases) I ( \ (select) I (convert\ () I ( Connect\ () I ( count
\() I (sys objects)'

لینوکس

گزراشت احراز هویت در Ubuntu:

# tail /var/log/auth. log
# grep -i "fail" /var/log/auth. log

نمایش گزارشات ورود در Ubuntu:

# tail /var/

نمایش گزارشات samba:

# grep -i samba /var/log/syslog

نمایش فعالیت های cron:

# grep -i cron /var/log/syslog

نمایش فعالیت های sudo:

# grep -i sudo /var/log/auth. log

نمایش گزارشات Apache برای خطاهای 404:

# grep 404 <LOG FILE NAME> I grep -v -E
"favicon. ico I robots. txt"

نمایش گزارشات Apache برای درخواست فایل ها:

# head access_log I awk '{print $7}'

نظارت بر فایل های ایجاد شده در هر 5 دقیقه:

# watch -n 300 -d ls -lR /<WEB DIRECTORY>

نمایش ترافیک های از سمت:

# cat <LOG FILE NAME> I fgrep -v <YOUR DOMAIN> I cut
-d\" -f4 I grep -v ""-

نظارت بر ارتباطات TCP هر 5 ثانیه:

# netstat -ac 5 I grep tcp

نصب فریمورک audit و بررسی syscalls/events:

# apt-get install auditd
# auditctl -a exit,always -5 execve
# ausearch -m execve

دریافت گزارشات audit:

# aureport