Intro to Linux Forensics
Setelah sebelumnya kita mencoba untuk melakukan basic forensic pada sistem operasi windows, kali ini kita akan mencoba untuk melakukan sedikit forensic pada sistem operasi Linux.
Process Manager
command ‘top’ pada linux bisa dibilang sebagai task manager namun pada linux. Disini kita bisa melihat berbagai macam informasi seperti waktu pada sistem operasi, user, jumlah task dan detailnya, bahkan hingga zombie. Selain itu kita dapat melihat jumlah memory dan swap yang digunakan.Kita juga dapat memantau lokasi dari perintah yang berjalan dengan menekan tombol ‘c’ sehingga jika dirasa terdapat malicious activities seperti %CPU atau %MEM yang tidak normal maka dapat ditelusuri lokasi sumber dari task yang berjalan tersebut.
alternatif selain top, kita juga bisa menggunakan ps. Pada ps ini cukup unik karena kita bisa melakukan filtering untuk melihat proses sesuai grup tertentu, dan bahkan kita bisa melihat hingga hubungan antar proses (forest = proses utama dengan child mereka).
Dapat kita lihat bagaimana hubungan antar proses. Sebagai contoh, proses dengan PID 2 ‘kthreadd’ merupakan proses utama yang memiliki child process rcu_gp, rcu_par_gp, dan lain sebagainya.
Logging
Pada dasarnya log pada sistem operasi linux, log tersimpan pada /var/log. Namun kita bisa juga menggunakan command yang sudah disediakan oleh linux itu sendiri yaitu seperti lastlog dan last. Lastlog digunakan untuk menampilkan beberapa log terakhir yang login tanpa menggunakan gui atau dalam artian menggunakan terminal. apabila kita ingin melihat beberapa log terakhir yang masuk menggunakan gui kita bisa menggunakan last.
Secara default, seluruh log tercatat pada folder atau directory /var/log. jika kita lihat terdapat beberapa log file yang tersimpan disana.
Sebagai contoh pada boot.log akan mencatat berbagai proses yang terjadi ketika kita pertama kali melakukan booting pada sistem operasi linux. kita bisa melihat dengan menggunakan sudo cat boot.log.
Selain boot.log terdapat berbagai macam log yang tersimpan di /var/log. Kita bisa melihat seperti log pada debug, daemon, bahkan pada folder apt kita mampu melihat hingga aplikasi yang sudah pernah terinstall. Pada folder tersebut terdapat file seperti history.log dan term.log
Sebenarnya, seluruh hal yang berlangsung pada sistem kita sudah tercatat secara utuh pada suatu jurnal yang dinamakan journalctl.
journalctl juga menyediakan berbagai macam filtering untuk mendapatkan informasi. Kita bisa memanfaatkan ‘man’ untuk melihat berbagai macam filtering yang ada. Contoh filtering pada journalctl seperti — list-boots untuk log boot dan — since untuk melakukan filter waktu.
Mungkin sekian dulu intro to linux forensics, maafkan ketidakrapihan penulisan :D
See ya and Stay Corious!!!
