نظارت
نظارت بر شبکه
دستور TCPDUMP
نمایش ترافیک به ASCII (-A) یا HEX (-X):
# tcpdump -A
#tcpdump -X
نمایش timestamps ترافیک ها و عدم تبدیل آدرس ها و کم صدا:
# tcpdump -tttt -n -vv
شناسایی ارسال کننده ها بعد از دریافت 1000 بسته (مشکوک حمله DDoS):
# tcpdump -nn -c 1000 jawk '{print $3}' I cut -d.
-fl-4 I sort -n I uniq -c I sort -nr
ضبط کلیه بسته های در و بدل شده در همه interface میزبان ها و پورت 80 و ذخیره آن ها در فایل:
# tcpdump -w <FILENAME>,pcap -i any dst <TARGET IP
ADDRESS> and port 80
نمایش ترافیک بین دو میزبان:
# tcpdump host 10.0.0.1 && host 10.0.0.2
نمایش تمام ترافیک به غیر از محدوده شبکه و میزبان مشخص:
# tcpdump not net 10.10 && not host 192.168.1,2
نمایش ترافیک بین میزبان 1 و میزبان های دیگر:
#tcpdump host 10,10,10.10 && \(10,10.10.20 or
10,10,10,30\)
ذیخره فایل pcap در اندازه مشخص:
# tcpdump -n -s65535 -C 1000 -w '%host_%Y-%m%d_%H:%M:%S.pcap'
ذخیره فایل pcap file در سیستم دیگر:
# tcpdump -w - I ssh <REMOTE HOST ADDRESS> -p 50005
"cat - > /tmp/remotecapture.pcap"
بررسی و جست و جو ترافیک ها برای کلمه pass:
# tcpdump -n -A -s0 I grep pass
بررسی و جست و جو ترافیک ها برای پروتکل های clear text:
# tcpdump -n -A -s0 port http or port ftp or port
smtp or port imap or port pop3 I egrep -i
'pass=lpwd=llog=llogin=luser=lusername=lpw=lpassw=IP
asswd=lpassword=lpass: I user: lusername: I password: I log
in: I pass I user ' --color=auto --line-buffered -B20
بررسی توان یا throughput:
# tcpdump -w - lpv -bert >/dev/null
فیلتر ترافیک ipv6:
# tcpdump not ip6
فیلتر ترافیک ipv4:
# tcpdump ip6
اسکریپت ذخیره سازی ترافیک چندین interface در فایل به صورت زمان دار:
#!/bin/bash
tcpdump -pni any -s65535 -G 3600 -w any%Y-%m
%d_%H:%M:%S.pcap
اسکریپت انتقال فایل های ترافیک tcpdump به محل های دیگر:
#!/bin/bash
while true; do
sleep 1;
rsync -azvr -progress <USER NAME>@<IP
ADDRESS>:<TRAFFIC DIRECTORY>/, <DESTINATION
DIRECTORY/.
done
جست و جو گراهینامه self-signed و مشکوک:
# tcpdump -s 1500 -A '(tcp[((tcp[12:1] & 0xf0) >>
2)+5:1] = 0x01) and (tcp[((tcp[12:1] & 0xf0) >>
2) : 1] : 0x16)'
نمایش گواهینامه SSL:
# openssl s_client -connect <URL>:443
# openssl s_client -connect <SITE>:443 </dev/null
2>/dev/null I sed -ne '/-BEGIN CERTIFICATE-/,/-END
CERTIFICATE-Ip' > <CERT>.pem
بررسی گواهینامه های Self-Signed:
# openssl x509 -text -in <CERT>.pem
#openssl x509 -in <CERT>,pem -noout -issuer -
subject -startdate -enddate -fingerprint
# openssl verify <CERT>.pem
اسختراج نام سرور در گواهینامه ها:
# tshark -nr <PCAP FILE NAME> -Y "ssl. handshake. ciphersuites" -Vx I grep "Server Name:" I sort I uniq -c I sort -r
اسختراج اطلاعات درباره گواهینامه:
# ssldump -Nr <FILE NAME>.pcap I awk 'BEGIN {c=0;}
{ if ($0 � / A [ ]+Certificate$/) {c=l; print
"========================================";} if
($0 !�/ A +/) {c=0;} if (c==l) print $0; }'
بررسی وضیعت برنامه های و استفاده هر کدام از پورت ها :
netstat -aon | findstr '[port_number]'
tasklist | findstr '[PID]'
tasklist | findstr '[application_name]'
netstat -aon | findstr '[PID]'
دستور TSHARK
دریافت interface های شبکه:
> tshark -D
بررسی چندین interface شبکه:
> tshark -i ethl -i eth2 -i eth3
ذخیره pcap و غیرفعال سازی name resolution:
> tshark -nn -w <FILE NAME>,pcap
نمایش تاریخ و timestamp:
> tshark -t a
دریافت ترافیک arp یا icmp:
> tshark arp or icmp
ذخیره ترافیک بین [میزبان ها] و یا [شبکه ها]:
> tshark "host <HOST l> && host <HOST 2>"
> tshark -n "net <NET 1> && net <NET 2>"
فیلتر هاست ها و ip ها (یا به غیر از ip شما):
> tshark -r <FILE NAME>,pcap -q -z hosts,ipv4
> tshark not host <YOUR IP ADDRESS>
به غیر از ARP و UDP:
> tshark not arp and not (udp.port -- 53)
Replay های یک فایل pcap:
> tshark -r <FILE NAME>.pcap
Replay های یک فایل pcap و استخراج میزبان ها و ip ها:
> tshark -r <FILE NAME>.pcap -q -z hosts
آماده سازی ذخیره ترافیک(در مدت 60 ثانیه):
> tshark -n -a files:10 -a filesize:100 -a
duration:60 -w <FILE NAME>,pcap
دریفات ip های منبع و مقصد:
> tshark -n -e ip.src -e ip.dst -T fields -E
separator=, -Rip
دریافت ip مربوط به منبع dns و query های آن:
> tshark -n -e ip.src -e dns,qry.name -E
separator=';' -T fields port 53
دریافت url های و درخواست http میزبان:
> tshark -R http.request -T fields -E separator=';'
-e http.host -e http.request.uri
دریافت های و درخواست http میزبان:
> tshark -n -R http.request -T fields -e http.host
بیشترین ارسال های به ip مقصد:
> tshark -n -c 150 I awk '{print $4}' I sort -n I
uniq -c I sort -nr
آمار مربوط به پروتکل ها:
> tshark -q -z io,phs -r <FILE NAME>.pcap
> tshark -r <PCAP FILE>,cap -R http.request -T
fields -e http.host -e http.request.uri lsed -e
'sf?,*$//' I sed -e 's#"(,*)t(,*)$#http://l2#' I
sort I uniq -c I sort -rn I head
> tshark -n -c 100 -e ip.src -R "dns.flags.response
eq 1" -T fields po rt 53
> tshark -n -e http.request.uri -R http.request -T
fields I grep exe
> tshark -n -c 1000 -e http.host -R http.request -T
fields port 80 I sort I uniq -c I sort -r
استخراج مقادیر درخواست های POST
tshark -Y "http.request.method==POST" -T fields -e http.file_data -r keeptryin.pcap
استخراج مقدار response در DNS
tshark -Y "dns.txt" -T fields -e dns.qry.name -n -r keeptryin.pcap
دستور SNORT
اجرای تست بر روی فایل تنظیمات snort:
# snort -T -c /<PATH TO SNORT>/snort/snort.conf
روش استفاده از snort(v=جزییات,d=دریافت payload های بسته):
# snort -dv -r <LOG FILE NAME>, log
پاسخ به فایل گزارشات و بررسی با ترافیک icmp:
# snort -dvr packet.log icmp
گزارشات به صورت ASCII:
# snort -K ascii -l <LOG DIRECTORY>
گزارشات به صورت binary:
snort -l <LOG DIRECTORY>
ارسال event به console:
# snort -q -A console -i eth0 -c
/etc/snort/snort.conf
# snort -c snort.conf -l /tmp/so/console -A console
ایجاد یک rule برای snort و ذخیره سازی آن:
# echo alert any any <SNORT RULE> > one.rule
بررسی و تست یک rule:
# snort -T -c one.rule
بررسی و تست یک rule و نتیجه آن در console ور مسیر گزارشات:
# mkdir ,/logs
# snort -vd -c one.rule -r <PCAP FILE NAME>,pcap -A
console -l logs
ابزار های بررسی ترافیک های شبکه یا فایل های PCAP
ابزار EDITCAP
ویرایش فایل های pcap (جداسازی 1000 بسته):
> editcap -F pcap -c 1000 orignal.pcap
out_split,pcap
ویرایش فایل های pcap (جداسازی بسته ها در هر ساعت):
> editcap -F pcap -t+3600 orignal.pcap
out_split.pcap
ابزار MERGECAP
برای ادغام چندین فایل pcap:
> mergecap -w merged_cap.pcap capl.pcap cap2.pcap
cap3.pcap
تکنیک HONEY
ویندوز
Honey Port ها در ویندوز:
منبع. http://securityweekly.com/wp content/uploads/2013/06/howtogetabetterpentest.pdf
Step 1: ایجاد rule در فایروال برای شناسایی و عدم اجازه به کلیه ارتباطات پورت 3333
C:\> echo @echo off for /L %%i in (1,1,1) do @for /f
"tokens=3" %%j in ('netstat -nao A l find "'":3333 A "')
do@for /f "tokens=l delims=:" %%k in ("%%j") do
netsh advfirewall firewall add rulename="HONEY TOKEN
RULE" dir=in remoteip=%%k localport=any protocol=TCP
action=block >> <BATCH FILE NAME>.bat
Step 2: اجرای اسکریپت batch
C:\> <BATCH FILE NAME>,bat
Honey Ports اسکریپت در powershell
Ref. https://github.com/Pwdrkeg/honeyport/blob/master/hon eyport.psl
Step 1: دریافت اسکریپت powershell
C: \> "%ProgramFiles%\Internet Exp lo rer\iexplo re. exe"
https://github.com/Pwdrkeg/honeyport/blob/master/hon
eyport.psl
Step 2: اجرای اسکریپت powershell
C:\> honeyport.psl
Honey Hashe ها برای ویندوز (همچنین روش شناسایی Mimikatz) :
منبع. https://isc.sans.edu/forums/diary/Detecting+Mimikatz +Use+On+Your+Network/19311/
Step 1: ایجاد یک Honey Hash تقلبی. از کلمه عبور تقلبی استفاده کنید و cmd را باز نگهدارید
C:\> runas
/user:yourdomain.com\fakeadministratoraccount
/netonly cmd.exe
Step 2: جست و جو برای تلاش از راه دور
C:\> wevtutil qe System /q:"*[System
[(EventID=20274)]]" /f:text /rd:true /c:1
/r:remotecomputername
Step 3: جست و جو برای تلاش های ورود
C:\> wevtutil qe Security /q:"*[System[(EventID=4624
or EventID=4625)]]" /f:text /rd:true /c:5
/r:remotecomputername
Step 4: (اختیاری) با استفاده از مکث 30 ثانیه ای نمایش داده شود
C:\> for /L %i in (1,0,2) do (Insert Step 2) &
(Insert Step 3) & timeout 30
لینوکس
Honey Port ها در لینوکس:
منبع. http://securityweekly.com/wp content/uploads/2013/06/howtogetabetterpentest.pdf
Step 1: ایجاد یک حلقه برای رد کلیه درخواست های به پورت 2222
# while [ 1 ] ; echo "started" ; do IP='nc -v -l -p
2222 2>&1 l> /dev/null I grep from I cut -d[ -f 3 I
cut -d] -f 1'; iptables -A INPUT -p tcp -s ${IP} -j
DROP ; done
اسکریپت Honey Port در لینوکس :
منبع. https://github.com/gchetrick/honeyports/blob/master/ honeyports-0.5.py
Step 1: دریافت اسکریپت پایتون
# wget
https://github.com/gchetrick/honeyports/blob/master/
honeyports-0.5.py
Step 2: اجرای اسکریپت پایتون
# python honeyports-0.5.py -p <CHOOSE AN OPEN PORT>
-h <HOST IP ADDRESS>
شناسایی rogue scanning با استفاده از Labrea Tarpit:
# apt-get install labrea
# labrea -z -s -o -b -v -i eth0 2>&1 | tee -a log.txt
ابزار NETCAT
استفاده از netcat برای شناسایی اسکن های تهدید آمیز:
> nc -v -k -l 80
> nc -v -k -l 443
> nc -v -k -l 3389
نظارت بر PASSIVE DNS
استفاده از dnstop برای نظارت بر درخواست های DNS در هر موقعیتی:
# apt-get update
# apt-get install dnstop
# dnstop -l 3 <INTERFACE NAME>
مرحله 1: کلید 2 را فشار دهید تا نام ها نمایش داده شود
استفاده از dnstop برای نظارت بر درخواست های dns داخل فایل pcap:
# dnstop -l 3 <PCAP FILE NAME> I <OUTPUT FILE
NAME>,txt
روش های LOG AUDITING
ویندوز
افزایش اندازه Log به منظور ارتقا auditing:
C:\> reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Ap
plication /v MaxSize /t REG_DWORD /d 0x19000
C:\> reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Se
curity /v MaxSize /t REG_DWORD /d 0x64000
C:\> reg add
HKLM\Software\Policies\Microsoft\Windows\EventLog\Sy
stem /v MaxSize /t REG_DWORD /d 0x19000
بررسی تنظیمات Security log:
C:\> wevtutil gl Security
برای تنظیمات audit policies:
C:\> auditpol /get /category:*
تنظیم Log Auditing موفق و یا ناموفق در تمامی دسته بندی ها:
C:\> auditpol /set /category:* /success:enable
/failure:enable
تنظیم Log Auditing موفق و یا ناموفق در تمامی زیر دسته ها:
C: \> auditpol /set /subcategory: "Detailed File
Share" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"File System"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Security System
Extension" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"System Integrity"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Security State
Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other System
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"System Integrity"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Logon"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Logoff"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Account Lockout"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Logon/Logoff
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Network Policy
Server" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Registry"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"SAM"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Certification
Services" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Application
Generated" /success:enable /failure:enable
C: \> auditpol / set /subcategory: "Handle
Manipulation" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"file Share"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"filtering Platform
Packet Drop" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Filtering Platform
Connection" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Object Access
Events" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Detailed File
Share" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Sensitive Privilege
Use" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Non Sensitive
Privilege Use" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Other Privilege Use
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Process
Termination" /success:enable /failure:enable
C:\> auditpol /set /subcategory: "DPAPI Activity"
/success:enable /failure:enable
C: \> audit pol /set /subcategory: "RPC Events"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Process Creation"
/success:enable /failure:enable
C:\> auditpol /set /subcategory:"Audit Policy
Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory: "Authentication
Policy Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory: "Authorization
Policy Change" /success:enable /failure:enable
C: \> audit pol /set /subcategory: "MPSSVC Rule-Level
Policy Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Filtering Platform
Policy Change" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Policy Change
Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"User Account
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Computer Account
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Security Group
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Distribution Group
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Application Group
Management" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Account
Management Events" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Directory Service
Changes" /success:enable /failure:enable
C: \> auditpol / set /subcategory: "Directory Service
Replication" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Detailed Directory
Service Replication" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Directory Service
Access" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Kerberos Service
Ticket Operations" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Other Account Logan
Events" /success:enable /failure:enable
C: \> audit pol /set /subcategory: "Kerberos
Authentication Service" /success:enable
/failure:enable
C:\> auditpol /set /subcategory:"Credential
Validation" /success:enable /failure:enable
لیست گزارشات موجود و اندازه و مجاز:
PS C:\> Get-Eventlog -list
لیست جزئی از کلید های نظارت بر Security Log Auditing events :
PS C:\> Get-Eventlog -newest 5 -logname application
I Format-List
نمایش گزارشات به صورت از راه دور:
PS C:\> Show-Eventlog -computername <SERVER NAME>
نمایش لیست event ها بر اساس Event ID:
PS C:\> Get-Eventlog Security I ? { $_.Eventid -eq
4800}
PS C:\> Get-WinEvent -FilterHashtable
@{LogName="Secu rity"; ID=4774}
ورود به حساب - Audit Credential Validation برای 14 روز اخیر:
PS C:\> Get-Eventlog Security
4768,4771,4772,4769,4770,4649,4778,4779,4800,4801,48
02,4803,5378,5632,5633 -after ((get-date).addDays(-
14))
حساب - ورود و خروج:
ا
PS C:\> Get-Eventlog Security
4625,4634,4647,4624,4625,4648,4675,6272,6273,6274,62
75,6276,6277,6278,6279,6280,4649,4778,4779,4800,4801
,4802,4803,5378,5632,5633,4964 -after ((get
date).addDays(-1))
مدیریت حساب - مدیریت گروه برنامه های Audit:
PS C:\> Get-Eventlog Security
4783,4784,4785,4786,4787,4788,4789,4790,4741,4742,47
43,4744,4745,4746,4747,4748,4749,4750,4751,4752,4753
,4759,4760,4761,4762,4782,4793,4727,4728,4729,4730,4
731,4732,4733,4734,4735,4737,4754,4755,4756,4757,475
8,4764,4720,4722,4723,4724,4725,4726,4738,4740,4765,
4766,4767,4780,4781,4794,5376,5377 -after ((get
date).addDays(-1))
ردیابی دقیق - Audit DPAPI Activity, Process Termination, RPC Events:
PS C:\> Get-EventLog Security
4692,4693,4694,4695,4689,5712 -after ((get
date).addDays(-1))
دسترسی به سرویس دامین - Audit دسترسی به سرویس دایرکتوری:
PS C:\> Get-EventLog Security
4662,5136,5137,5138,5139,5141 -after ((get
date).addDays(-1))
دسترسی به object - Audit اشتراک فایل, فایل سیستم, SAM, رجیستری, گواهینامه ها:
PS C:\> Get-EventLog Security
4671,4691,4698,4699,4700,4701,4702,5148,5149,5888,58
89,5890,4657,5039,4659,4660,4661,4663,4656,4658,4690
,4874,4875,4880,4881,4882,4884,4885,4888,4890,4891,4
892,4895,4896,4898,5145,5140,5142,5143,5144,5168,514
0,5142,5143,5144,5168,5140,5142,5143,5144,5168,4664,
4985,5152,5153,5031,5140,5150,5151,5154,5155,5156,51
57,5158,5159 -after ((get-date).addDays(-1))
Policy تغییر - Audit Policy تغییر, Microsoft Protection سرویس, Windows Filtering Platform:
PS C:\> Get-EventLog Security
4715,4719,4817,4902,4904,4905,4906,4907,4908,4912,47
13,4716,4717,4718,4739,4864,4865,4866,4867,4704,4705
,4706,4707,4714,4944,4945,4946,4947,4948,4949,4950,4
951,4952,4953,4954,4956,4957,4958,5046,5047,5048,544
9,5450,4670 -after ((get-date).addDays(-1))
Privilege استفاده - Audit مربوط به privilage استفاده از سرویس های حساس و غیرحساس:
PS C:\> Get-EventLog Security 4672,4673,4674 -after
((get-date),addDays(-1))
سیستم - Audit Security تغییر وضیعت, Security System پسوند, System تمامیت, System Events:
PS C:\> Get-Eventlog Security
5024,5025,5027,5028,5029,5030,5032,5033,5034,5035,50
37,5058,5059,6400,6401,6402,6403,6404,6405,6406,6407
,4608,4609 ,4616, 4621, 4610, 4611, 4614,
4622,4697,4612,4615,4618,4816,5038,5056,5057,5060,50
61,5062,6281 -after ((get-date).addDays(-1))
اضافه نمودن ماژول Microsoft IIS:
PS C:\> add-pssnapin WebAdministration
PS C:\> Import-Module WebAdministration
دریافت اطلاعات درباره IIS:
PS C:\> Get-IISSite
دریافت اطلاعات مسیر IIS:
PS C:\> (Get-WebConfigurationProperty
'/system.applicationHost/sites/siteDefaults' -Name
'logfile.directory').Value
تنظیم متغییر برای مسیر گزارش IIS (مسیر پیشفرض):
PS C:\> $LogDirPath =
"C:\inetpub\logs\LogFiles\W3SVCl"
دریافت فایل گزارشات 7 روز اخیر IIS:
PS C:\> Get-Child!tem -Path
C:\inetpub\logs\LogFiles\w3svcl -recurse I Where
Object {$_. lastwritetime -lt (get-date).addDays(-7)}
نمایش فایل گزارشات IIS (استفاده از متغیر $LogDirPath):
PS C:\> Get-Content $LogDirPath\*, log I%{$_ -replace
'#Fields: ', "} I?{$_ -notmatch ""#'} I
ConvertFrom-Csv -Delimiter ' '
نمایش گزاراشت IIS:
PS C:\> Get-Content <!IS LOG FILE NAME>, log I%{$_ -
replace '#Fields: ', ''} 17{$_ -notmatch 'A#'} I
ConvertFrom-Csv -Delimiter ' '
جست و جو در فایل گزارشات IIS به شکل IP address 192.168.·:
PS C:\> Select-String -Path $LogDirPath\*, log -
Pattern '192,168,*,*'
جست و جو در فایل گزارشات IIS برای پیدا نمودن حمله SQL injection:
PS C:\> Select-String -Path $LogDirPath\*, log
'(@@version) I (sqlmap) I (Connect\(\)) I (cast\() I (char\(
) I ( bcha r\ () I ( sys
databases) I ( \ (select) I (convert\ () I ( Connect\ () I ( count
\() I (sys objects)'
لینوکس
گزراشت احراز هویت در Ubuntu:
# tail /var/log/auth. log
# grep -i "fail" /var/log/auth. log
نمایش گزارشات ورود در Ubuntu:
# tail /var/
نمایش گزارشات samba:
# grep -i samba /var/log/syslog
نمایش فعالیت های cron:
# grep -i cron /var/log/syslog
نمایش فعالیت های sudo:
# grep -i sudo /var/log/auth. log
نمایش گزارشات Apache برای خطاهای 404:
# grep 404 <LOG FILE NAME> I grep -v -E
"favicon. ico I robots. txt"
نمایش گزارشات Apache برای درخواست فایل ها:
# head access_log I awk '{print $7}'
نظارت بر فایل های ایجاد شده در هر 5 دقیقه:
# watch -n 300 -d ls -lR /<WEB DIRECTORY>
نمایش ترافیک های از سمت:
# cat <LOG FILE NAME> I fgrep -v <YOUR DOMAIN> I cut
-d\" -f4 I grep -v ""-
نظارت بر ارتباطات TCP هر 5 ثانیه:
# netstat -ac 5 I grep tcp
نصب فریمورک audit و بررسی syscalls/events:
# apt-get install auditd
# auditctl -a exit,always -5 execve
# ausearch -m execve
دریافت گزارشات audit:
# aureport