Yud*_*ira 0 security linux web-server forensics
什么是有用的 linux 命令对受感染的 linux web 服务器进行取证以提供某种信息/证据/回溯?例如检查日志,检查上次文件编辑,可疑的开放端口,以及其他有用的自动取证命令?
dd. 拍摄受感染机器的图像,然后擦拭它并重新开始。你不能再相信你的主人告诉你的任何事情了。
但是,一旦您说完磁盘映像,问题就很重要:“您想完成什么”?如果是证据/法律,那么您将不得不非常小心,并且可能想在开始之前咨询法律专业人士。
如果只是为了弄清楚发生了什么破坏了它,那么我将从:
但归根结底,一个真正好的系统妥协真的很难彻底回溯。日志将被“整理”,时间戳更正。唯一可靠的来源是脱离主机的监控,例如远程系统日志服务器、防火墙或入侵检测系统……但是如果您没有提前拥有这些东西,那就太晚了。
| 归档时间: |
|
| 查看次数: |
568 次 |
| 最近记录: |