Comments on: Comandos Esenciales en GNU/Linux para Análisis Forense Digital http://www.sec-track.com/comandos-esenciales-en-gnulinux-para-analisis-forense-digital Tue, 31 Aug 2010 10:34:53 +0000 hourly 1 http://wordpress.org/?v=3.0.1 By: crkdown http://www.sec-track.com/comandos-esenciales-en-gnulinux-para-analisis-forense-digital/comment-page-1#comment-489 crkdown Tue, 12 Jan 2010 00:43:26 +0000 http://www.sec-track.com/?p=332#comment-489 Hola, Van algunos que pueden servir: tail -f archivo Permite ver en tiempo real como se genera un log. También puedes filtrarlo con grep así: tail -f archivo |grep mibusqueda df -h Muestra el tamaño de discos y particiones en Kb, Megas o Gigas haciendolo más fácil de leer whois dominio.com Muestra un poco de información de algún dominio como fechas, dns etc dig MX dominio.com Puedes encontrar aspectos de las zonas de un dominio cualquiera. Por ejemplo puedes usar MX, A, TXT etc [~]# dig mx ejemplo.com ;; QUESTION SECTION: ;industrialm.com. IN MX ;; ANSWER SECTION: industrialm.com. 9781 IN MX 0 aspmx.l.google.com. ;; Query time: 0 msec ;; SERVER: 69.64.44.50#53(69.64.44.50) ;; WHEN: Sat Jan 9 19:06:18 2010 ;; MSG SIZE rcvd: 64 top Mirar el consumo de recursos en tiempo real. El top es bueno aunque puedes presionar la letra u para poner los procesos de un usuario o presionando F para ver todas las demás opciones de filtrado watch mysqladmin proc Muestra las conexiones actuales de Mysql en tiempo real su - postgres luego psql y luego select * from pg_stat_activity; Procesos en tiempo real en Postgres muy util. Debes tener activada la opción de logueo en el archivo postgresql.conf comunmente presente en /var/lib/pgsql/data du -sch * Ver un listado de archivos, carpetas y sus tamaños. Muy util root@host [/home/user]# du -sch * 0 access-logs 8.0K cpmove.psql 40K etc 59M mail 8.0K public_ftp 45M public_html 4.0M tmp 0 www 108M total ps -aux |grep filtro Listado de todos los procesos del sistema que corren en ese momento. Como pueden ser muchos la aplicación de un filtro es ideal vim o vi Es el mejor editor de texto en consola, muy poderoso vim archivo Pulsar / y luego escribir el término de búsqueda para encontrar lo que sea Pulsar la tecla insert para insertar un texto. Delete para borrar. Para salir de estos dos pulsar escape Escribiendo :w escribes el archivo Escribiendo :wq escribes y sales del archivo Si quieres borrar una línea das dos veces sobre la tecla D. Si quieres deshacer pulsas escape y luego la tecla U cuantas veces quieras devolverte hdparm -t /dev/hda Hacer un test a la velocidad de escritura de un disco. Es bueno cuando sospechas que esta sacando la mano y debes hacer copias ASAP tar tfz archivo.tar.gz |grep “termino.txt” Busca un archivo llamado “termino.txt” dentro de un tar.gz para evitar descomprimir todo gunzip -c archivo.tar.gz | tar xvf - carpeta/termino.txt Extrae un archivo llamado termino.txt sin necesidad de descomprimir todo el tar.gz sar -B 1 1000 Verificar el consumo de escritura lectura del disco en tiempo real. Ideal para verificar cuando se tienen problemas de performance por i/o degradation netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n Detectar un posible DDos, aunque si es distribuído no sirve de mucho find . -type f -size +100000k -exec ls -lh {} \; | awk ‘{ print $9 “: ” $5 }’ Busca archivos grades recursivamente. Este busca archivos de más de 100 mil k Por ultimo hay herramientas muy interesantes para conocer aspectos más puntuales como el uso de disco pero sólo funcionan en Kernels más recientes. pidstat -d 2 Permite conocer en tiempo real el proceso puntual PID que esta escribiendo o leyendo en ese momento. Muy útil ya que a veces es muy dificil saber que lo causa @crkdown Hola,

Van algunos que pueden servir:

tail -f archivo
Permite ver en tiempo real como se genera un log. También puedes filtrarlo con grep así: tail -f archivo |grep mibusqueda

df -h
Muestra el tamaño de discos y particiones en Kb, Megas o Gigas haciendolo más fácil de leer

whois dominio.com
Muestra un poco de información de algún dominio como fechas, dns etc

dig MX dominio.com
Puedes encontrar aspectos de las zonas de un dominio cualquiera. Por ejemplo puedes usar MX, A, TXT etc

[~]# dig mx ejemplo.com

;; QUESTION SECTION:
;industrialm.com. IN MX

;; ANSWER SECTION:
industrialm.com. 9781 IN MX 0 aspmx.l.google.com.

;; Query time: 0 msec
;; SERVER: 69.64.44.50#53(69.64.44.50)
;; WHEN: Sat Jan 9 19:06:18 2010
;; MSG SIZE rcvd: 64

top
Mirar el consumo de recursos en tiempo real. El top es bueno aunque puedes presionar la letra u para poner los procesos de un usuario o presionando F para ver todas las demás opciones de filtrado

watch mysqladmin proc
Muestra las conexiones actuales de Mysql en tiempo real

su – postgres luego psql y luego select * from pg_stat_activity;
Procesos en tiempo real en Postgres muy util. Debes tener activada la opción de logueo en el archivo postgresql.conf comunmente presente en /var/lib/pgsql/data

du -sch *
Ver un listado de archivos, carpetas y sus tamaños. Muy util

root@host [/home/user]# du -sch *
0 access-logs
8.0K cpmove.psql
40K etc
59M mail
8.0K public_ftp
45M public_html
4.0M tmp
0 www
108M total

ps -aux |grep filtro
Listado de todos los procesos del sistema que corren en ese momento. Como pueden ser muchos la aplicación de un filtro es ideal

vim o vi
Es el mejor editor de texto en consola, muy poderoso

vim archivo
Pulsar / y luego escribir el término de búsqueda para encontrar lo que sea
Pulsar la tecla insert para insertar un texto. Delete para borrar. Para salir de estos dos pulsar escape
Escribiendo :w escribes el archivo
Escribiendo :wq escribes y sales del archivo
Si quieres borrar una línea das dos veces sobre la tecla D.
Si quieres deshacer pulsas escape y luego la tecla U cuantas veces quieras devolverte

hdparm -t /dev/hda
Hacer un test a la velocidad de escritura de un disco. Es bueno cuando sospechas que esta sacando la mano y debes hacer copias ASAP

tar tfz archivo.tar.gz |grep “termino.txt”
Busca un archivo llamado “termino.txt” dentro de un tar.gz para evitar descomprimir todo

gunzip -c archivo.tar.gz | tar xvf – carpeta/termino.txt
Extrae un archivo llamado termino.txt sin necesidad de descomprimir todo el tar.gz

sar -B 1 1000
Verificar el consumo de escritura lectura del disco en tiempo real. Ideal para verificar cuando se tienen problemas de performance por i/o degradation

netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
Detectar un posible DDos, aunque si es distribuído no sirve de mucho

find . -type f -size +100000k -exec ls -lh {} \; | awk ‘{ print $9 “: ” $5 }’
Busca archivos grades recursivamente. Este busca archivos de más de 100 mil k

Por ultimo hay herramientas muy interesantes para conocer aspectos más puntuales como el uso de disco pero sólo funcionan en Kernels más recientes.

pidstat -d 2
Permite conocer en tiempo real el proceso puntual PID que esta escribiendo o leyendo en ese momento. Muy útil ya que a veces es muy dificil saber que lo causa

@crkdown

]]> By: FastTiger http://www.sec-track.com/comandos-esenciales-en-gnulinux-para-analisis-forense-digital/comment-page-1#comment-443 FastTiger Wed, 06 Jan 2010 16:00:07 +0000 http://www.sec-track.com/?p=332#comment-443 ps -A -> examina los procesos que están corriendo top -> Muestra los procesos que se están corriendo y su prioridad ps -A -> examina los procesos que están corriendo

top -> Muestra los procesos que se están corriendo y su prioridad

]]> By: sceuss http://www.sec-track.com/comandos-esenciales-en-gnulinux-para-analisis-forense-digital/comment-page-1#comment-403 sceuss Wed, 06 Jan 2010 04:48:53 +0000 http://www.sec-track.com/?p=332#comment-403 Coloco nuevamente la ultima linea del comentario anterior puesto que no se mostró correctamente. Ejemplo: file archivo XD Coloco nuevamente la ultima linea del comentario anterior puesto que no se mostró correctamente.

Ejemplo:
file archivo

XD

]]> By: sceuss http://www.sec-track.com/comandos-esenciales-en-gnulinux-para-analisis-forense-digital/comment-page-1#comment-402 sceuss Wed, 06 Jan 2010 04:47:54 +0000 http://www.sec-track.com/?p=332#comment-402 file --> Muestra que tipo de archivo es el que ponemos como argumento. file file –> Muestra que tipo de archivo es el que ponemos como argumento.

file

]]>