linux box被黑后取证分析的主要步骤是什么?
假设它是一个通用的 linux 服务器 mail/web/database/ftp/ssh/samba。它开始发送垃圾邮件,扫描其他系统.. 如何开始寻找黑客攻击的方式以及谁负责?
我有一台运行桌面 ubuntu 发行版的家庭服务器。我在我的 crontab 中找到了这个
* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1
在查看该目录时(username/ 后面的空格是目录名),我发现了很多脚本,它们显然在做一些他们不应该做的事情。
在我擦除那台计算机并重新安装东西之前,我想找出导致安全漏洞的原因以及何时完成。所以我不会再打开同一个洞。
我应该查看哪些日志文件?我知道在计算机上运行的唯一服务器是 sshd 和 lighttpd。
我应该怎么做才能检测是否再次发生这样的事情?
尽管虚拟化的要点是在不共享内存空间的情况下为每个实例化操作系统提供“容器化”环境,但是否有技术可以在在线或离线(暂停)虚拟机上进行取证?
问题偏向于我希望没有这种可能性的事实,但同样,我担心的是,用非常外行的话说,当您暂停虚拟机时,内存应该“转储”在主机上的某处,以便稍后恢复。
在这种情况下,是否可以从 VM 访问(只读)敏感信息?如果是,是否有针对此类事件的缓解程序?应如何正确应用这些程序?
尽我所能,
布鲁诺