其中一台Linux服务器遭到了破坏,一些连接正在从本地主机发送到一个远程位置,并将信息放在其上。 我试图跟踪从我的服务器的所有传出连接..
我试过
iptables -A OUTPUT -m tcp -p tcp --src 0/0 -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7 ,这并没有显示已经应用规则或任何地方的任何进展…有人可以请指导这里有什么问题。
在妥协的情况下,通常有两个想法:
现在把机器从网上拿走,因为它可能造成更多的伤害。 检查坏人是怎么进来的,从头开始重build机器没有这个特定的漏洞。 只从备份中恢复确切的“确定”,不要试图恢复“最新的备份”和“删除一些可疑的脚本”。 你不知道什么时候入侵者进入你的盒子,运气不好,你从备份还原,否则可能会重新安装入侵者的rootkit或其他恶意软件。
创build有用的信息,然后让机器脱机。
法医信息更是如此:
tcpdump -s 0 -w dumpfile.pcap捕获networkingstream量,然后在不同的/专用的主机上分析这个数据,例如使用wireshark或类似的软件。 无论如何: – 请注意,攻击者不限于tcp。 他们也可能使用udp或者任何基于ip的协议。 – 如果入侵者获得root权限,他们可能已经改变了日志logging机制。 你不能真的相信机器的日志,日志可能已被过滤。
如果你还想执行一些iptables日志logging:
iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7
应该做的伎俩。