Linux
linux box被黑後取證分析的主要步驟是什麼?
linux box被黑後取證分析的主要步驟是什麼?
可以說它是一個通用的 linux 伺服器 mail/web/database/ftp/ssh/samba。它開始發送垃圾郵件,掃描其他系統。如何開始尋找黑客攻擊的方式以及誰負責?
以下是在重新啟動之前要嘗試的一些事情:
首先,如果您認為自己可能受到威脅,請拔下網線,以免機器造成進一步損壞。
然後,如果可能,請不要重新啟動,通過重新啟動可以刪除盡可能多的入侵者痕跡。
如果您提前考慮並進行了遠端登錄,請使用您的遠端日誌,而不是機器上的日誌,因為有人很容易篡改機器上的日誌。但是,如果您沒有遠端日誌,請徹底檢查本地日誌。
檢查dmesg,因為這也將在重新啟動時被替換。
在 linux 中,可以執行程序——即使在執行文件已被刪除之後。使用命令文件 /proc/檢查這些$$ 0-9 $$*/exe|grep “(已刪除)”。(當然,這些會在重新啟動時消失)。如果要將正在執行的程序的副本保存到磁碟,請使用**/bin/dd if=/proc/ filename /exe of= filename**
如果您知道 who/ps/ls/netstat 的良好副本,請使用這些工具檢查盒子上發生的情況。請注意,如果安裝了rootkit,這些實用程序通常會被替換為無法提供準確資訊的副本。