LINUX.ORG.RU

Сообщения alex0999

 

частный форенсис

Привет всем уважаемым форумчанам. Помогите разобраться кое с чем из области форенсис, как оказывается это называется. Я уже разобрался, как найти файлы, процессы и так далее по временным меткам. -ctime, -mtime, -atime. Найти то нашел, но как понять, к чему приложила руку «система», а к чему юзер? Если коротко: из анализа каких каталогов, подкаталогов, файлов, можно сделать вывод: здесь был юзер? Мануалы в основном сводятся к общему описанию самых верхних в иерархии каталогов, максимум подкаталогов, причем без конкретики, которая меня интересует.

 

alex0999
()

понимание логов команды last

Приветствую знатоков форума. Прошу меня не пинать как за тупые вопросы, так и за неправильно оформленный пост. Абсолютный делетант в линукс. Меня сюда привело скажем так любопытство по одному давнему событию, не разобрался ТОГДА, решил попробовать еще раз. Меня интересую несколько строчек вывода логов last. Вернее сказать вероятные сценарии, как такое могло быть (я про изменение даты). Ранее, я задавал эти вопросы, по сценариям, не было мыслей, по изменению даты два предположения. Села батарейка, и есть на машине еще одна ОС, в итоге конфликт. Батарейка в норме, за продолжительное время, хоть комп бывает и по полгода стоит , не включается, ни разу системного сбоя не было. Системная команда показывает 98% заряда батарейки. Еще одной ОС нет. Конечно люди в ответах исходили из того, что это мой комп, хотя я четко написал, что нет. И варианты могут быть любые, разве что кроме инопланетян. ТОГДА я спрашивал, есть ли возможность в убунту найти где то в логах, в какой момент изменилась дата в одну и другую сторону, и сколько времени сессия длилась в этом неправильном временном интервале, ответа не было, может быть сейчас кто то знает. Лично у меня, как полного дилетатнта, есть 2 идеи. 1. Хозяин ручками рандомно изменил дату (теоретически могу предположить, что после 06:55 21.02.2022, так как согласно журналу, новое ядро загрузилось в это время). Отключил синхронизацию времени. Перезагрузил. Далее непонятно, нету строчки, что была авторизация с этой датой, как будто файл логов редактировался, либо, как и положено делетанту, я чего то не понимаю. Далее, 23 февр. (правильная дата и время значит была включена синхронизация) , авторизация. Следующая запись, 12 марта, это уже автор этих строк, открыл крышку ноутбука. 2. Либо такой вариант. Некто воткнул флешку для несанкционированного входа, и произошел сброс даты\времени . Если цель сброса пароля, это было бы видно вот в этих логах? Если цель восстановить пароль, есть ли в принципе такой софт, и отразилось ли бы это как то в логах? В итоге это и есть вопросы. Каким образом могла измениться дата и сколько времени длилась сессия с этой датой?

alex     tty2         tty2             Sun May 29 14:34 - down  (20+15:14)
reboot   system boot  5.13.0-44-generi Sun May 29 14:34 - 05:48 (20+15:14)
alex     tty2         tty2             Sun Mar 27 11:54 - down  (63+02:38)
reboot   system boot  5.13.0-35-generi Sun Mar 27 10:29 - 14:33 (63+04:03)
alex     tty2         tty2             Sat Mar 12 19:21 - crash (14+14:08)
reboot   system boot  5.13.0-35-generi Sat Mar 12 19:20 - 14:33 (77+18:12)
alex     tty2         tty2             Wed Feb 23 08:34 - crash (17+10:46)
reboot   system boot  5.13.0-30-generi Mon Jan 10 05:07 - 14:33 (139+08:25)
alex     tty2         tty2             Sun Feb 20 15:42 - crash (-41+10:34)
reboot   system boot  5.13.0-28-generi Sun Feb 20 15:42 - 14:33 (97+21:51)
alex     tty2         tty2             Sun Feb 20 15:36 - crash  (00:05)

 

alex0999
()

RSS подписка на новые темы