查找被黑客入侵的服务器如何被黑客入侵

我会先说这个，如果你没有日志文件 ，那么你很可能永远不会理解攻击成功的地方或方式。 即使有完整而正确的日志文件，要充分理解谁，何时，何地，何时，为什么以及如何，也是极其困难的。

所以，知道日志文件有多重要，你就开始明白你有多安全了。 这就是为什么公司应该投资安全信息和事件pipe理或SIEM的原因。

简而言之，将所有日志文件关联到特定的事件（基于时间或其他）可能是一项非常艰巨的任务。 只要看看你的防火墙系统日志在debugging模式，如果你不相信我。 而这只是一个电器！ SIEM进程将这些日志文件放入一系列逻辑事件中，这些事件可以很容易地理解发生的事情。

开始有一个更好的了解如何，这是有帮助的研究渗透方法 。

了解病毒是如何写入的也很有帮助。 或者如何编写一个rootkit 。

设置和研究一个蜜jar也是非常有益的。

它也有助于有一个日志parsing器和精通它。

为您的networking和系统收集基线很有帮助。 什么是“正常”的stream量与“exception”的stream量？

CERT在你的计算机遭到黑客入侵之后有一个很好的指导，特别是（直接与你的具体问题有关）“分析入侵”部分：

• 查找对系统软件和configuration文件所做的修改
• 寻找修改数据
• 查找入侵者留下的工具和数据
• 检查日志文件
• 寻找networking嗅探器的迹象
• 检查networking上的其他系统
• 检查远程站点涉及的系统或受影响的系统

在SF上有很多类似于你的问题：

1. 如何做一个服务器黑客验尸
2. 主机文件和Netstat中的奇怪项目
3. 这是一个黑客的尝试？
4. 我如何从黑客或安全angular度学习Linux？

这可能是一个非常复杂的过程。 包括我在内的大多数人，如果涉及的东西比我的SIEM电器可以放在一起更多的话，就会聘请一位顾问。

而且，显然，如果你想充分理解你的系统如何被黑客入侵，你必须花费数年的时间 研究和放弃女性。

这一点的答案可能是一百万英里宽，高，并且不要在被黑客攻击的服务器上发生什么事情，几乎可以说是一种艺术forms，就像其他任何东西一样，我会再给出点和例子，而不是一个确定的集合要遵循的步骤。

有一件事要记住，一旦你面临入侵，你可以审计你的代码，你的系统pipe理/configuration和程序，知道肯定有一个弱点。 这有助于推动动力而不是寻找可能存在或可能不存在的理论弱点。 很多时候，人们把东西放在线上，而知道代码本来可以更加审计，只要我们有时间; 或者系统更加牢固地locking，只要它不那么不方便; 或者程序变得更加紧凑，如果老板不记得长密码的话，那也不算什么麻烦。 我们都知道我们最可能的弱点在哪里，所以从这些开始。

在一个理想的世界里，你将有不同的日志存储在不同的系统日志服务器上，而不仅仅是来自服务器，而是来自任何也loggingstream量的防火墙，路由器等等。 还有像Nessus这样的工具可以分析系统并寻找弱点。

对于来自第三方的软件/框架，通常可以使用审计您的部署的最佳实践指南，或者您可能会更多地关注安全新闻和修补计划，并发现可能已被使用的一些漏洞。

最后，如果你有时间和耐心来find它，大多数入侵者都会留下一些痕迹。 “开车”脚本小子入侵或使用黑客工具包破解往往把重点放在共同的弱点，可以留下一个模式，指向你在正确的方向。 要分析的最困难的事情可能是手动定向入侵（例如，某人不想破解“某个”网站，而是想专门攻击“您的”网站），这当然是最重要的事情。

对于一个真正不知从何开始的人（或者对于有经验的人来说，有其他的职责），第一步可能是聘请一个熟悉以上步骤的人。 这种方法的另一个好处是，他们将看到你的设置没有任何先入为主的观念或个人利益的答案。

“我知道你可以查看服务器日志文件，但是作为攻击者，我会做的第一件事情就是错误地logging日志文件。”

根据攻击types的不同，攻击者可能没有足够的权限在受损服务器上清除日志。 将服务器日志保存在另一台服务器上的离线盒也是最好的做法，以防止篡改（以一定的时间间隔自动输出）。

如果存在一个（Active Directory，RADIUS等），除了受损的服务器日志之外，还有networking日志（防火墙，路由器等）以及来自目录服务的身份validation日志。

所以看日志仍然是可以做的最好的事情之一。

在处理一个妥协的盒子时，筛选日志总是将我所发生的事情拼凑在一起的主要方式之一。

-Josh