Essential Linux Commands for Log Analysis

Prepare Sample SSH Log Files

Log download  the log files contain relevant SSH events, including timestamps, source IP addresses, usernames, actions (login, logout), etc.

Commands for Hashing Log Files

1. Generating a Hash (SHA-256)

The most common and secure standard for forensic imaging and log analysis is SHA-256.

• Command: sha256sum ssh.log

  

• Explanation: This command calculates the SHA-256 hash of the file ssh.log. It will output a 64-character hexadecimal string followed by the filename.

2. Saving the Hash to a Verification File

In a forensic investigation, you must save the hash immediately after collecting the evidence.

• Command: sha256sum ssh.log > ssh.log.sha256

  

• Explanation: The > operator redirects the output into a new file named ssh.log.sha256. This file acts as your "Evidence Reference".

3. Verifying the Integrity

To check if the log file has been tampered with or corrupted later:

• Command: sha256sum -c ssh.log.sha256

• Explanation: The -c (check) flag tells the system to read the hash from the .sha256 file and compare it with the current state of ssh.log.

  • Result OK: The file is identical to the original.

    

  • Result FAILED: The file has been modified or corrupted.

Essential Linux Commands for Log Analysis

1. grep (Global Regular Expression Print)

Used to search for specific text patterns within the log file.

• Command: grep "success" ssh.log

• Purpose: To filter and display only the lines where a login was successful.

• Command: grep "failure" ssh.log | wc -l

• Purpose: To count the total number of failed login attempts.

  

Steps to Analyze SSH Log Files

#cat Desktop/Web_Server_Logs/ssh.log 

Analyze failed login attempts:

 #cat Desktop/Web_Server_Logs/ssh.log | grep failure 

Investigate SSH sessions from unusual or suspicious source IP addresses: 

awk (Pattern Scanning and Processing)

Used to extract specific columns (fields) from the log.

• Command: awk '{print $3}' ssh.log

• Purpose: To extract the Source IP address (which is in the 3rd column)

  
  
  

• Command: awk '{print $5}' ssh.log

• Purpose: To extract the Destination IP address (which is in the 5th column).

  
  
  

If you want to find the Top 10 IP addresses trying to hack your server, use this combined

Step-by-step breakdown:

1. awk '{print $3}': Get all Source IPs.

2. sort: Group identical IPs together.

3. uniq -c: Count how many attempts each IP made.

4. sort -nr: Sort numerically in reverse (highest count at the top).

5. head -n 10: Show only the top 10 results.

#awk '{print $3}' Desktop/Web_Server_Logs/ssh.log | sort | uniq -c | sort -nr | head -n 10

Top Target (Destination) IPs:

• 192.168.28.254 (High frequency of attempts)

  
  
  

• 192.168.23.203 (High frequency of attempts)

• 
  
  

• 192.168.27.203 (High frequency of attempts)

• 

1. 1331904022.010000
   → Unix Timestamp (เวลาที่เกิดเหตุการณ์)

2. CU46Bb2UypzdF4eTW
   → Session ID / Connection ID ของ SSH

3. 192.168.202.110
   → Source IP (เครื่องที่พยายามเชื่อมต่อ)

4. 36586
   → Source Port

5. 192.168.27.203
   → Destination IP (เครื่องปลายทาง = SSH Server)

6. 22
   → Destination Port (SSH)

7. undetermined / failure
   → สถานะการเชื่อมต่อ

• undetermined = ยังไม่ทราบผล (handshake)

• failure = login ล้มเหลว

8. INBOUND
   → เป็นการเชื่อมต่อขาเข้า (incoming connection)

9. SSH-2.0-OpenSSH_5.8p1 Debian-ubuntu3
   → Banner ของ SSH 

• The SSH log indicates repeated inbound connection attempts from IP address 192.168.202.110 targeting the SSH service on 192.168.27.203 over port 22.
  Multiple sessions resulted in authentication failures, which is consistent with a brute-force or unauthorized login attempt.

 Time Conversion Command

Since the log uses Unix Epoch Time, you can convert it to a human-readable format using the date command.

• Command: date -d @1332017793.040000 

• Purpose: Converts the timestamp 1332017793.040000  into a standard Date/Time format.

อ่านเพิ่มเติม:

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

FortiGate Sample logs

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

(ISC)² Certified in Cybersecurity (CC) Certification(Certification Renewal)

การต่ออายุใบรับรอง  (ISC)² Certified in Cybersecurity (CC)  เนื่องจากแอดสอบไว้นานแล้วจะครบกำหนด เลยทำการต่ออายุ โดยใช้ใบรับรอง Certification ของค่ายอื่นๆ สามารถนำมาใช้เป็นหน่วยกิต CPE เพื่อต่ออายุใบรับรอง (ISC)² Certified in Cybersecurity (CC) ได้ โดยได้รับจำนวนหน่วยกิตตามนโยบายการศึกษาต่อเนื่องของ (ISC)²

เนื่องจาก Certification เกี่ยวกับ Security  เป็นใบรับรองที่เกี่ยวข้องกับโดเมนความมั่นคงปลอดภัยทางไซเบอร์โดยตรง จึงนับเป็น Group A CPE credits ซึ่งเป็นหน่วยกิตทางเทคนิคที่จำเป็นสำหรับการต่ออายุ

เงื่อนไขการต่ออายุ คุณต้องได้รับเครดิตการศึกษาต่อเนื่อง  (CPE) 45 หน่วยกิตในรอบสามปี ส่งผ่านพอร์ทัล ISC2 และชำระค่าธรรมเนียมการบำรุงรักษาประจำปี (AMF) 50 ดอลลาร์ทุกปี โดยจัดการทั้งหมดผ่านแดชบอร์ดสมาชิก ISC2 ของคุณ เมื่อครบ 3 ปี และคุณได้สะสม CPE ครบตามกำหนด พร้อมจ่าย AMF แล้ว คุณจะได้รับการต่ออายุสถานะสมาชิก CC

ทำการต่ออายุสมาชิก

จำนวน CPE Credits ที่คาดการณ์: โดยทั่วไป (ISC)² จะให้เครดิตสำหรับการสอบใบรับรองอื่น ๆ โดยอ้างอิงกับระดับของใบรับรองนั้น ๆ (เช่น บางครั้งอาจนับชั่วโมงการเตรียมตัวสอบ หรือนับเป็นจำนวนหน่วยกิตที่กำหนด)

• การสอบผ่านใบรับรองที่เกี่ยวข้อง: กิจกรรมเช่นการสอบผ่านใบรับรองที่เกี่ยวข้องกับ InfoSec สามารถให้เครดิตได้ถึง 40 CPE Credits

• ข้อกำหนด CC: ใบรับรอง CC มีข้อกำหนดในการต่ออายุค่อนข้างต่ำที่สุดในบรรดาใบรับรองของ (ISC)² คือต้องใช้รวม 45 CPE Credits ใน Group A และรวม 60 CPE Credits ภายใน 3 ปี

สรุปการต่ออายุ CC Certification

ข้อกำหนด	รายละเอียด
วงจรการต่ออายุ	3 ปี
CPEs รวมที่ต้องการ	60 CPE Credits (ภายใน 3 ปี)
Group A (เทคนิค)	45 CPE Credits (ต้องเกี่ยวข้องกับโดเมน CC)
Group A หรือ B (ทั่วไป)	15 CPE Credits (Group B คือการพัฒนาวิชาชีพทั่วไป)
ค่าธรรมเนียม	ต้องชำระ Annual Membership Fee (AMF) ทุกปี (หลังจากปีแรก) คุณต้องจ่ายค่าธรรมเนียมรายปี $50 USD (ประมาณ 50 เหรียญสหรัฐฯ).

วิธีการเพิ่มหน่วยกิต CPE ในระบบ (ISC)²

ขั้นตอนที่ 1: เข้าสู่ระบบ (Log in)

1. ไปที่เว็บไซต์อย่างเป็นทางการของ (ISC)²

2. เข้าสู่ระบบบัญชีของคุณใน  https://cpe.isc2.org Portal (หรือ Member Login) โดยใช้ชื่อผู้ใช้และรหัสผ่านของคุณ

ขั้นตอนที่ 2: ไปที่หน้า CPE Management

1. เมื่อเข้าสู่ระบบแล้ว ให้ค้นหาส่วนที่เกี่ยวข้องกับการจัดการใบรับรอง (Certifications) หรือการจัดการ CPE (CPE Management).

2. คลิกที่ตัวเลือก "Enter CPEs" หรือ "Manage CPEs"

   

ขั้นตอนที่ 3: เลือกประเภทกิจกรรม (Select Activity Type)

คุณจะต้องระบุว่ากิจกรรมที่คุณทำนั้นเป็น CPE ประเภทใด โดยทั่วไปแบ่งออกเป็น 2 กลุ่มหลัก:

• Group A (Technical): กิจกรรมที่เกี่ยวข้องโดยตรงกับความรู้และทักษะในโดเมนของใบรับรองของคุณ (เช่น การเข้าร่วมสัมมนาด้าน Digital Forensics, การสอบผ่าน CompTIA Security+, การทำงานวิจัยด้าน Cybersecurity)

• Group B (General): กิจกรรมที่ช่วยพัฒนาทักษะวิชาชีพทั่วไป (เช่น การเข้าฝึกอบรมด้านการบริหารจัดการ, การเงิน, หรือการสอน)

• 🇹🇭 แน่นอนครับ! การเพิ่มหน่วยกิต CPE (Continuing Professional Education) ในระบบของ (ISC)² ผ่านพอร์ทัล  เป็นขั้นตอนสำคัญในการต่ออายุใบรับรองของคุณ (เช่น CC, CISSP, CCSP)

  นี่คือขั้นตอนโดยละเอียดในการบันทึกกิจกรรม CPE ในระบบ (ISC)² ครับ:

  

  คลิกเลือกประเภทกิจกรรมที่ตรงกับที่คุณได้ทำมา เช่น:

  
  
  

  ประเภทกิจกรรม	ตัวอย่างกิจกรรมที่บันทึก
  Education/Training	การเข้าร่วมสัมมนา, หลักสูตรออนไลน์, การเรียนรู้ด้วยตนเอง
  Vendor Presentation	การเข้าร่วมงานนำเสนอผลิตภัณฑ์ด้านความปลอดภัยของบริษัทต่าง ๆ
  Self-Study	การอ่านหนังสือ, White Papers, หรือบทความที่เกี่ยวข้อง
  Publishing	การเขียนบทความ, การเขียนหนังสือ

  ขั้นตอนที่ 4: กรอกรายละเอียดกิจกรรม (Enter Activity Details)

  กรอกข้อมูลที่จำเป็นสำหรับกิจกรรมนั้น ๆ ซึ่งอาจแตกต่างกันไปตามประเภทที่เลือก แต่โดยทั่วไปต้องกรอกข้อมูลต่อไปนี้:

  1. Activity Name/Title: ชื่อหัวข้อหรือชื่อหลักสูตร/สัมมนา

  2. Date(s): วันที่เริ่มและวันที่สิ้นสุดกิจกรรม

  3. Source: ชื่อผู้จัดงาน, สถาบัน, หรือแหล่งที่มาของกิจกรรม (เช่น CompTIA ,EC-Council สำหรับการสอบ Cert ใหม่, University of X สำหรับการเรียน)

  4. CPE Credits Claimed: จำนวนหน่วยกิต CPE ที่คุณต้องการบันทึก

     • หลักการคำนวณ: 1 ชั่วโมงของการศึกษา = 1 CPE Credit

     • (ISC)² อนุญาตให้บันทึกเป็นจำนวนทศนิยมได้ (เช่น 1.5 CPEs)

  5. Summary/Description: คำอธิบายสั้น ๆ เกี่ยวกับกิจกรรมและวิธีที่กิจกรรมนี้เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์ (สำคัญมากสำหรับการตรวจสอบ)

  ขั้นตอนที่ 5: แนบเอกสารหลักฐาน (Attach Documentation)

  คุณต้องแนบเอกสารเพื่อเป็นหลักฐานยืนยันการเข้าร่วมกิจกรรมนั้น ๆ เช่น:

  • ใบรับรอง (Certificate of Attendance): สำหรับการฝึกอบรมหรือสัมมนา

  • 
    
    

  • ใบเสร็จ (Receipts) หรือตั๋วเข้างาน: สำหรับการประชุมหรือการจัดงาน

  • ประกาศนียบัตร: สำหรับการสอบผ่านใบรับรองใหม่ (เช่น CompTIA ,EC-Council,SANS)

  • หลักฐานการเผยแพร่: สำหรับการเขียนบทความ/หนังสือ

  • 
    
    

  ขั้นตอนที่ 6: ตรวจสอบและส่ง (Review and Submit)

  1. ตรวจสอบความถูกต้องของข้อมูลทั้งหมด (ชื่อกิจกรรม, วันที่, และจำนวน CPEs ที่ขอ).

  2. อ่านและยอมรับข้อตกลงและเงื่อนไข.

  3. คลิก "Submit" เพื่อส่งกิจกรรม CPE เข้าสู่ระบบ

     
     
     
     

     
     
     

  หน่วยกิตที่คุณบันทึกจะถูกตรวจสอบโดย (ISC)² ซึ่งอาจใช้เวลาสักครู่ในการประมวลผล แต่เมื่อได้รับการอนุมัติแล้ว หน่วยกิตนั้นจะถูกนับรวมในยอดรวม CPEs ของคุณสำหรับการต่ออายุ

นอกจากนี้ท่านสามารถทำแบบทดสอบเครดิต CPE ของ ISC2 Insights ประจำเดือน แบบทดสอบ 10 ข้อ โดยคำถามจะอิงจากเนื้อหาบทความที่ยาวกว่าบางส่วนในช่วงเวลาดังกล่าว หากทำแบบทดสอบผ่านจะได้รับเครดิต CPE สองหน่วยโดยอัตโนมัติ คำถามสำหรับแบบทดสอบนี้อ้างอิงจากบทความต่อไปนี้จากส่วน Insights บนเว็บไซต์ ISC2

อ่านเพิ่มเติม

• CHFI – Computer Hacking Forensic Investigator (Certification Renewal)
• CDFE – Certified Digital Forensics Examiner (Certification Renewal)
• รีวิวการสอบใบรับรอง Certified in Cybersecurity (CC)ของ (ISC)2 สมัครฟรี, เรียนฟรี, สอบฟรี

 ISC2 - How to Submit Group A CPE Credits  

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

วิธีดู "เว็บไซต์หน่วยงานรัฐปลอม" ก่อนถูกหลอก!!!

photo credit:preventonlinecrime.com

#เตือนภัยออนไลน์ #เตือนภัยมิจฉาชีพ #preventonlinecrime

ที่มา Website : https://www.preventonlinecrime.com

ตัวอย่าง

"ตัวอย่าง Website Phishing แหมไม่ลงทุนทำเว็บหน่อยทุกคนห้ามเข้าตามหรือคลิกลิงก์ดาวน์โหลดอะไรก็ตามแต่นะครับ ให้สังเกตุที่ URL cgd[.]dkhth[.]com ระบบจริงๆเขาใช้ dps[.]cgd[.]go[.]th ซึ่งก็พยายามใช้เทคนิคสะกดคำให้เหมือน หากติกตั้งแอปไปก็ เรียบร้อยโรงเรียนจีน"

Photo credit: Satosec FB

### Task 1: Check the URL hxxps//[:]cgd[.]dkhth[.]com  carefully   

* Compare `fake website ` vs `real website `dps[.]cgd[.]go[.]th   

* What do you notice?

✅ **Answer**:

### Task 2: WHOIS Lookup

* Perform WHOIS on both domains.

* What information can you find about domain age and registrar?

✅ **Answer**:

### Task 3: DNS and IP Analysis

* Run:

  nslookup fake website

  nslookup real website 

  ```

* Compare results.

### Task 4: SSL Certificate Check

* Open both sites in browser → click padlock icon.

* What do you observe?

✅ **Answer**:

### Task 5: Threat Intelligence Check 

1. Check If URLs Are Malicious

• Zulu ZScaler (https://zulu.zscaler.com) Result:...................?
• Virus Total (https://www.virustotal.com) Result:...................?

• 
  
  
• URL and website scanner(URLScan.io) Result:...................?
• Zulu URL Risk Analyzer (https://zulu.zscaler.com/) Result:...................?

2. Check Reputation of Domain

• CISCO Talos Intelligence(https://talosintelligence.com) Result:...................?
• URLVoid (https://www.urlvoid.com ) Result:...................?
  
  
  
• spamhaus.org Result:...................?
  
  
  

* What do reports show?

✅ **Answer**:  

อ่านเพิ่มเติม:

• แนวทางการรวบรวมพยานหลักฐานเว็บไซต์
• การดำเนินคดีและร่างฟ้อง กรณี ฟิชชิ่ง (Phishing)
• How To Use The Magnet Web Page Saver
• Check the report IP history
• WEBPAGE ARCHIVE

• Wayback Machine

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD