关于可能被攻击或者攻击后的检查
看了很多贴觉得论坛上的朋友们有时候贴出来的信息不足够进行判断分析,想把自己的一些好用检查经验写出来。给大家一起共同参考
1.判断入侵
一般来说系统被入侵都有异常表现,比如系统异常重起,或者文件变动,网络异常。例如syslog无故restart,或者log日志归0,history文件异常,异常的last记录,机器异常reboot。
应该说信条就是怀疑一切,因为现在网络渗透技术非常成熟,一个突破口就可能导致整个网络的失守,一但发现有异常情况就必须马上进行检查。
2.现场保护
最好能先切断网络,保证不被入侵者利用,然后保存系统下的日志如果有条件最好cp移动硬盘或者干净的分区上面。例如shell操作记录,系统messege,各种服务的log。
3.数据分析
由于服务器已经被入侵,当然每个文件都可能被修改,所以ls netstat都是不可以相信的,而且还会给欺骗的结果。所以制作一份静态编译的系统常用命令是必要的。我就制作了一个光盘文件将ls,netstat find这些命令全部放入一个ISO中,以只读方式挂入系统进行检查。相信会有很多发现
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
我看了很求助贴,觉得有些时候很为难因为信息不全,
我想如果朋友求助时候,能带上系统环境,比如操作系统的版本,运行的服务,已经一些开启的应用,一些LOG如果没有什么重要信息可以打包贴出来,也方便问题查找和建议
强,受益了,多谢多谢