Blue Team Field NotesDFIR · SOC · Vulnerability Management
Journaux Linux

Chasse et triage Linux

journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.

Processus et réseau

ps auxfww
ss -plant
lsof -nP -i
ls -l /proc/*/exe 2>/dev/null | grep deleted

Persistance

systemctl list-unit-files --state=enabled
systemctl list-timers --all
find /etc/cron* /var/spool/cron -type f -maxdepth 3 -ls 2>/dev/null
find /etc/systemd/system /usr/lib/systemd/system -type f -mtime -7 -ls

Fichiers récents

find /tmp /var/tmp /dev/shm -xdev -type f -mtime -2 -ls
find /etc -xdev -type f -mtime -2 -ls

Packages

# Debian/Ubuntu
grep ' install ' /var/log/dpkg.log
apt list --installed

# RHEL/Rocky
rpm -qa --last | head -50

Indices de compromission

Collecte ciblée

tar --xattrs --acls -czf CASE-linux-triage.tgz   /var/log /etc/systemd/system /etc/cron* /root/.ssh /home/*/.ssh 2>/dev/null
sha256sum CASE-linux-triage.tgz
Attention

Une collecte `tar` sur un système actif modifie les métadonnées et peut inclure des secrets. Utilise un emplacement sécurisé et documente l'action.

Références officielles