Essential Linux Commands for Log Analysis

Prepare Sample SSH Log Files

Log download  the log files contain relevant SSH events, including timestamps, source IP addresses, usernames, actions (login, logout), etc.

Commands for Hashing Log Files

1. Generating a Hash (SHA-256)

The most common and secure standard for forensic imaging and log analysis is SHA-256.

• Command: sha256sum ssh.log

  

• Explanation: This command calculates the SHA-256 hash of the file ssh.log. It will output a 64-character hexadecimal string followed by the filename.

2. Saving the Hash to a Verification File

In a forensic investigation, you must save the hash immediately after collecting the evidence.

• Command: sha256sum ssh.log > ssh.log.sha256

  

• Explanation: The > operator redirects the output into a new file named ssh.log.sha256. This file acts as your "Evidence Reference".

3. Verifying the Integrity

To check if the log file has been tampered with or corrupted later:

• Command: sha256sum -c ssh.log.sha256

• Explanation: The -c (check) flag tells the system to read the hash from the .sha256 file and compare it with the current state of ssh.log.

  • Result OK: The file is identical to the original.

    

  • Result FAILED: The file has been modified or corrupted.

Essential Linux Commands for Log Analysis

1. grep (Global Regular Expression Print)

Used to search for specific text patterns within the log file.

• Command: grep "success" ssh.log

• Purpose: To filter and display only the lines where a login was successful.

• Command: grep "failure" ssh.log | wc -l

• Purpose: To count the total number of failed login attempts.

  

Steps to Analyze SSH Log Files

#cat Desktop/Web_Server_Logs/ssh.log 

Analyze failed login attempts:

 #cat Desktop/Web_Server_Logs/ssh.log | grep failure 

Investigate SSH sessions from unusual or suspicious source IP addresses: 

awk (Pattern Scanning and Processing)

Used to extract specific columns (fields) from the log.

• Command: awk '{print $3}' ssh.log

• Purpose: To extract the Source IP address (which is in the 3rd column)

  
  
  

• Command: awk '{print $5}' ssh.log

• Purpose: To extract the Destination IP address (which is in the 5th column).

  
  
  

If you want to find the Top 10 IP addresses trying to hack your server, use this combined

Step-by-step breakdown:

1. awk '{print $3}': Get all Source IPs.

2. sort: Group identical IPs together.

3. uniq -c: Count how many attempts each IP made.

4. sort -nr: Sort numerically in reverse (highest count at the top).

5. head -n 10: Show only the top 10 results.

#awk '{print $3}' Desktop/Web_Server_Logs/ssh.log | sort | uniq -c | sort -nr | head -n 10

Top Target (Destination) IPs:

• 192.168.28.254 (High frequency of attempts)

  
  
  

• 192.168.23.203 (High frequency of attempts)

• 
  
  

• 192.168.27.203 (High frequency of attempts)

• 

1. 1331904022.010000
   → Unix Timestamp (เวลาที่เกิดเหตุการณ์)

2. CU46Bb2UypzdF4eTW
   → Session ID / Connection ID ของ SSH

3. 192.168.202.110
   → Source IP (เครื่องที่พยายามเชื่อมต่อ)

4. 36586
   → Source Port

5. 192.168.27.203
   → Destination IP (เครื่องปลายทาง = SSH Server)

6. 22
   → Destination Port (SSH)

7. undetermined / failure
   → สถานะการเชื่อมต่อ

• undetermined = ยังไม่ทราบผล (handshake)

• failure = login ล้มเหลว

8. INBOUND
   → เป็นการเชื่อมต่อขาเข้า (incoming connection)

9. SSH-2.0-OpenSSH_5.8p1 Debian-ubuntu3
   → Banner ของ SSH 

• The SSH log indicates repeated inbound connection attempts from IP address 192.168.202.110 targeting the SSH service on 192.168.27.203 over port 22.
  Multiple sessions resulted in authentication failures, which is consistent with a brute-force or unauthorized login attempt.

 Time Conversion Command

Since the log uses Unix Epoch Time, you can convert it to a human-readable format using the date command.

• Command: date -d @1332017793.040000 

• Purpose: Converts the timestamp 1332017793.040000  into a standard Date/Time format.

อ่านเพิ่มเติม:

การจัดเก็บ Log file ให้ถูกกฎหมายด้วย 5 เครื่องมือ ใช้งานฟรีๆ

FortiGate Sample logs

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:PicoCTF Writeups: extensions

PicoCTF Writeups: extensions

Challenge Overview

• Event: PicoCTF 2019
• Challenge Name: Extensions
• Category: Forensics

This is a really weird text file. Can you find the flag?

Get the flag from TXT.

Step 1: Understanding File Extensions and Magic Numbers

Operating systems don’t rely only on a file’s extension (like .txt or .png) to identify its type. Instead, they check the:

1.What is a Magic Number?

A Magic Number (or File Signature) is a specific set of bytes at the very beginning of a file that identifies its actual format. Unlike file extensions (like .txt or .jpg), which are easily changed by a user, Magic Numbers are required by software to correctly interpret and render the file data.

 

Solution

 

I started by downloading the provided file, flag.txt, onto my Windows  virtual machine. Opening it in Notepad revealed this:

Inspecting the Internal Structure

When opening flag.txt with Notepad, the data appears unreadable, but the first few characters are key:

• Appears as: ‰PNG

2. Evidence of File Obfuscation

In your provided images, there is a clear mismatch between the file's name and its internal structure:

• Deceptive Name: The file is named flag.txt, making it look like a simple text document.

• Header Signature (ASCII): When opened in Notepad, the first few characters are ‰PNG  . This is the standard header for a PNG image.

• Hexadecimal Signature: In the hex view (likely from FTK Imager), the first four bytes are 89 50 4E 47. This is the unique hexadecimal signature that every PNG file must start with.

Verification and Tools

• Linux file Command: When run against this file, the command returns PNG image data. This tool works by reading the Magic Number rather than trusting the .txt extension.

Checking the file with file.

It's a PNG picture file, not a text file.

When checking this file in a Linux system (such as Kali) using the file command, the result

It's a PNG picture file, not a text file.

4. Conclusion

The file flag.txt is not a text file; it is a PNG image. To view the content correctly as an image, you can simply rename the file back to flag.png. Changing a file’s extension doesn’t modify its content—it just helps the operating system interpret the file correctly.

 Opening the file

After renaming the file, I opened it as a PNG image:

File Magic Numbers 

Magic numbers are the first bits of a file which uniquely identify the type of file.

photo credit:  gist.github.com

Why is the Magic Number Important in Forensics?

During an investigation, suspects often change file extensions to hide evidence (e.g., renaming an incriminating image from .jpg to .dll or .txt).

• Antivirus/Forensic Tools: These tools perform a "Signature Mismatch" analysis to detect files that are attempting to hide their true identity.

• Data Recovery: If the file system structure is damaged and the extensions are lost, recovery software uses these Magic Numbers to identify and reconstruct the original file types.

Summary from the example: Your file is a PNG image that has been renamed with a .txt extension. If you change the extension back to .png, you will be able to view the image normally.

Ref:PocoCTF

อ่านเพิ่มเติม:

• INE Lab 3 สอบ (ECDFP)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:How to Determine the Last Shutdown Time and Date in Windows II

How to Determine the Last Shutdown Time and Date in Windows II

หากคุณเป็นผู้ตรวจสอบหลักฐานทางดิจิทัล อาจมีบางครั้งที่คุณจำเป็นต้องทราบประวัติการ ปิดเครื่องของคอมพิวเตอร์  ตัวอย่างที่ 2 

Using Windows  registry

Windows also stores the last shutdown date and time in a REG_BINARY value named ShutdownTime in the following

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\ShutdownTime

ค่าการปิดเครื่องครั้งล่าสุด (Shutdown Time) ของระบบปฏิบัติการ Windows

ShutdownTime Value = 7F A2 3A F1 36 C5 D4 01  

1. ตัวอย่าง โปรแกรม Registry Viewer

เปิดไฟล์ Software โดยโปรแกรม Registry Viewer  พบว่าค่า วัน 

Last Written Time = 2/15/2019 14:01:26 UTC

2. Convert FILETIME timestamps to human-readable date (hxxps[:]//www[.]epochconverter.com/ldap)

ค่า 7F A2 3A F1 36 C5 D4 01 ถ้าเป็น Windows FILETIME (Little-Endian)
ต้องกลับ byte ก่อน จะได้: 01 D4 C5 36 F1 3A A2 7F

= 0x01D4C536F13AA27F 

 เมื่อแปลงจาก FILETIME   จะได้เวลาเป็น:

GMT: Friday, February 15, 2019 2:01:26 PM

อ่านเพิ่มเติม:

• How to Determine the Last Shutdown Time and Date in Windows
• Big endian VS Little endian

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

วิธีสังเกตเพจปลอม

ตำรวจไซเบอร์เตือนภัย | วิธีสังเกตเพจปลอม

ก่อนกดไลก์ ก่อนโอนเงิน อย่าลืมเช็กให้ชัวร์

Photo credit:ตำรวจไซเบอร์ – บช.สอท

.

วิธีสังเกตเพจปลอม มี4 ขั้นตอนง่ายๆ ดังนี้

กดที่ ชื่อเพจ (ตรงด้านบนของโพสต์)

เลื่อนลง กดเมนู “นโยบายความเป็นส่วนตัว” หรือ Privacy

ระบบจะพาไปหน้าใหม่

ให้มองหาเมนู “ความโปร่งใสของเพจ”

ให้ตรวจสอบข้อมูลสำคัญ

วันเดือนปีที่สร้างเพจ

ประเทศที่ผู้ดูแลเพจ (แอดมิน) อยู่

ประวัติการเปลี่ยนชื่อเพจ

.

ถ้าเจอว่า

• เพจเพิ่งสร้างใหม่

• แอดมินอยู่ต่างประเทศ

• เปลี่ยนชื่อเพจหลายครั้ง

มีความเสี่ยงสูงว่าเป็น เพจปลอม

.

เพจเพิ่งสร้าง แต่ยอดผู้ติดตามสูงผิดปกติ

ไม่มีเครื่องหมายยืนยันตัวตน ()

ใช้รูป โลโก้ หรือชื่อคล้ายหน่วยงาน/บริษัทดัง

ปิดคอมเมนต์ หรือเร่งให้ทักแชตอย่างเดียว

ชวนโอนเงิน แจกของรางวัล ราคาถูกเกินจริง

ที่มา: ตำรวจไซเบอร์ – บช.สอท.

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

#เตือนภัยไซเบอร์ #เพจปลอม #วิธีสังเกตเพจปลอม

#ตำรวจไซเบอร์ #cyberpolice

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud