服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 有用的Linux命令做一些在受损的Linuxnetworking服务器取证
Intereting Posts
最快的触发实时反病毒扫描 Microsoft SmartScreen筛选器需要访问哪些URL才能使用? RAID1:每个分区有一个RAID或RAID设备上的分区? 尝试启动vsftpd服务器时出错 SMART自我testing – 如果已经在进行每周RAID检查和smartctl -a输出被监测,那么值得吗? 傀儡服务器多个SSL证书? 向我推荐CCNA课程/书籍/套书 127.0.0.1损坏 SyncToy在任务计划程序中失败 Hyper-V中的VHD引导失败(从vhd启动Win7) 有限的连接 – networking问题 DNS中继:是可以做到的吗? vSphere PowerCLI cmdlet是否可以从PS1文件执行? 如何在IIS 7.5,Windows Server 2008 R2(64位)中安装PHP 下载Django 1.3官方发布失败

有用的Linux命令做一些在受损的Linuxnetworking服务器取证

什么是有用的Linux命令做一些在受损的Linuxnetworking服务器取证,以提供信息/证据/回溯? 例如检查日志,检查最后的文件编辑,可疑的开放端口和其他有用的自动命令取证?

dd 。 拍摄受感染机器的图像,然后擦拭并重新开始。 你不能相信你的主人告诉你什么。

一旦你说了磁盘映像,问题就是'你想完成什么'? 如果这是证据/合法的话,那么你将必须非常小心,并且可能在你开始之前想要咨询法律专业人士。

如果只是为了弄清楚发生了什么事情,那么我就从下面开始:

  • find(寻找“奇怪的”权限,特别是setuid)。
  • 在通用位置查看二进制文件(例如searchpath)。 md5sum,并根据源validation签名。
  • 日志文件 – 查找日志中的“奇怪”条目,特别是进程崩溃等。 分割故障对于缓冲区溢出漏洞是一个很大的警钟。

但是在一天结束的时候,系统的一个很好的妥协真的很难完全回溯。 日志将被“整理”,时间戳更正。 唯一可靠的来源是远离主机监控,例如远程系统日志服务器,防火墙或入侵检测系统……但是如果事先没有提供,这些事情就太迟了。