linux box被黑後取證分析的主要步驟是什麼？

linux box被黑後取證分析的主要步驟是什麼？

可以說它是一個通用的 linux 伺服器 mail/web/database/ftp/ssh/samba。它開始發送垃圾郵件，掃描其他系統。如何開始尋找黑客攻擊的方式以及誰負責？

以下是在重新啟動之前要嘗試的一些事情：

首先，如果您認為自己可能受到威脅，請拔下網線，以免機器造成進一步損壞。

然後，如果可能，請不要重新啟動，通過重新啟動可以刪除盡可能多的入侵者痕跡。

如果您提前考慮並進行了遠端登錄，請使用您的遠端日誌，而不是機器上的日誌，因為有人很容易篡改機器上的日誌。但是，如果您沒有遠端日誌，請徹底檢查本地日誌。

檢查dmesg，因為這也將在重新啟動時被替換。

在 linux 中，可以執行程序——即使在執行文件已被刪除之後。使用命令文件 /proc/檢查這些$$ 0-9 $$*/exe|grep “(已刪除)”。（當然，這些會在重新啟動時消失）。如果要將正在執行的程序的副本保存到磁碟，請使用**/bin/dd if=/proc/ filename /exe of= filename**

如果您知道 who/ps/ls/netstat 的良好副本，請使用這些工具檢查盒子上發生的情況。請注意，如果安裝了rootkit，這些實用程序通常會被替換為無法提供準確資訊的副本。

引用自：https://serverfault.com/questions/7708