第一步:让服务器离线,关闭它,然后克隆硬盘。在进行取证工作时,请仅使用此克隆驱动器,而不要更改原始驱动器。
您应该能够将克隆驱动器放入另一个系统,安装它,然后开始四处看看用户做了什么。我要检查的第一件事是用户的~/.bash_history,如果有的话。大多数聪明的黑客会在他们完成工作后删除这个文件,但它可能仍然存在。如果这不起作用,那么您真正需要做的就是/var/log 中的日志消息。您可以尝试rkhunter在系统上运行,但是 IMO,这不值得,因为您已经知道该系统已被入侵。根据该用户的精明程度,您可能永远不知道他们实际做了什么。
如果我是你,我会完全重新安装系统并从已知良好的备份中恢复。这是您能够确定系统没有受到损害的唯一方法。此外,当您启动新系统时,帮自己一个忙,并PasswordAuthentication在您的/etc/ssh/sshd_config文件中关闭并使用密钥身份验证。通过这样做,你会多从这种恶意活动的安全。
| 归档时间: |
|
| 查看次数: |
442 次 |
| 最近记录: |