Eu gostaria de aprender mais sobre análise forense e estou tentando fazer os desafios do Projeto Honeynet . Eu preciso verificar os arquivos de log e encontrar os IPs que estão conectados remotamente ao computador. Eu tenho uma imagem dd feita do disco rígido. Acho que o único serviço que estava em execução era apache . Além dos logs do Apache, que outros arquivos de log devo verificar? Onde eles estão localizados?
Você pode ver / var / log / wtmp usando o comando who. Isso mostrará quem está conectado ao sistema. Eu acho que mostra Ip, mas não completamente certo. Isto, obviamente, só se aplica a máquinas * nix.
Editar: depois de reler a postagem, suspeito que você estava procurando mais por um registro de quem fez as conexões com seu servidor da web? Isso não mostrará nada disso, apenas quem acessou uma concha, eu acho.
Você não especificou qual sistema está sendo executado, mas vou adivinhar um Linux recente: há toda uma infinidade de logs aguardando sua inspeção em / var / log. Outros sistemas podem tê-los colocado em outro lugar. Quase todos eles podem ter informações úteis sobre conexão.