在被黑客入侵后对linux box进行取证分析的主要步骤是什么?

Modified on: Sat, 24 Aug 2019 18:00:02 +0800

在被黑客入侵后对linux box进行取证分析的主要步骤是什么?

让我们说它是一个通用的linux服务器mail / web / database / ftp / ssh / samba。它开始发送垃圾邮件,扫描其他系统..如何开始搜索黑客的方式以及谁负责?

最佳答案

重启前需要尝试以下操作:

首先,如果您认为自己可能已被盗用拔下网络电缆,则机器无法再造成进一步损坏。

然后,如果可能避免重新启动,可以通过重新启动删除入侵者的许多痕迹。

如果您提前考虑并且已经远程登录,请使用您的远程日志,而不是机器上的远程日志,因为人们很容易篡改机器上的日志。但是,如果您没有远程日志,请彻底检查本地日志。

检查dmesg,因为重启时也会替换它。

在linux中,即使在删除正在运行的文件之后,也可以运行程序。使用命令file / proc / [0-9] * / exe | grep“(已删除)”检查这些。 (当然,这些在重新启动时消失)。如果要将正在运行的程序的副本保存到磁盘,请使用/ bin / dd if = / proc / filename / exe of = filename

如果你有/ strong / ps / ls / netstat的已知好副本,请使用这些工具检查包装盒上发生了什么。请注意,如果安装了rootkit,则这些实用程序通常会替换为无法提供准确信息的副本。

作者:,Brent

相关问答

添加新评论