Kaz*_*lis 15 security linux hacking forensic-analysis
linux box被黑后取证分析的主要步骤是什么?
假设它是一个通用的 linux 服务器 mail/web/database/ftp/ssh/samba。它开始发送垃圾邮件,扫描其他系统.. 如何开始寻找黑客攻击的方式以及谁负责?
Bre*_*nt 11
在重新启动之前,请尝试以下操作:
首先,如果您认为自己可能受到威胁,请拔掉网线,以免机器进一步损坏。
然后,如果可能,不要重新启动,因为通过重新启动可以消除许多入侵者的痕迹。
如果您提前考虑并进行了远程登录,请使用您的远程日志,而不是机器上的日志,因为有人很容易篡改机器上的日志。但是,如果您没有远程日志,请彻底检查本地日志。
检查dmesg,因为它也将在重新启动时替换。
在 linux 中,可能有正在运行的程序 - 即使在运行文件已被删除之后。使用命令文件 /proc/[0-9]*/exe|grep "(deleted)"检查这些。(当然,这些会在重新启动时消失)。如果要将正在运行的程序的副本保存到磁盘,请使用/bin/dd if=/proc/ filename /exe of= filename
如果您知道who/ps/ls/netstat 的好副本,请使用这些工具检查盒子上发生了什么。请注意,如果安装了Rootkit,这些实用程序通常会被替换为不会提供准确信息的副本。
这完全取决于被黑的内容,但总的来说,
检查被不当修改的文件的时间戳,并使用成功的 ssh(在 /var/log/auth* 中)和 ftp(在 /var/log/vsftp* 中,如果您使用 vsftp 作为服务器)交叉引用这些时间以找出哪个帐户遭到入侵以及攻击来自哪个 IP。
如果在同一帐户上有很多不成功的登录尝试,您可能会发现该帐户是否被暴力破解。如果该帐户没有或只有几次失败的登录尝试,那么密码可能是通过其他方式发现的,该帐户的所有者需要有关密码安全的讲座。
如果 IP 来自附近的某个地方,则可能是“内部工作”
如果 root 帐户被盗用,当然你会遇到大麻烦,如果可能的话,我会从头开始重新格式化和重建盒子。当然,无论如何您都应该更改所有密码。
| 归档时间: |
|
| 查看次数: |
5280 次 |
| 最近记录: |