linux box被黑客入侵后,进行取证分析的主要步骤是什么?
可以说这是一个通用的linux服务器mail / web / database / ftp / ssh / samba。它开始发送垃圾邮件,扫描其他系统。如何开始寻找黑客入侵的方式以及由谁负责?
linux box被黑客入侵后,进行取证分析的主要步骤是什么?
可以说这是一个通用的linux服务器mail / web / database / ftp / ssh / samba。它开始发送垃圾邮件,扫描其他系统。如何开始寻找黑客入侵的方式以及由谁负责?
Answers:
重新启动之前,请尝试以下操作:
首先,如果您认为自己可能受到了损害,请拔下网络电缆,以免造成机器进一步损坏。
然后,如果可能的话,不要重新启动,因为可以通过重新启动来清除入侵者的许多痕迹。
如果您考虑周全,并且已设置了远程日志,请使用远程日志,而不要使用计算机上的日志,因为某人很容易篡改计算机上的日志。但是,如果您没有远程日志,请彻底检查本地日志。
检查dmesg,因为它也将在重新启动后被替换。
在linux中,可能有正在运行的程序-即使已删除正在运行的文件。使用命令文件/ proc / [0-9] * / exe | grep“(deleted)”检查它们。(这些当然会在重新启动后消失)。如果要将运行程序的副本保存到磁盘,请使用/ bin / dd if = / proc / filename / exe of = filename
如果您知道 who / ps / ls / netstat的良好副本,请使用这些工具检查包装盒上的情况。请注意,如果已经安装了rootkit,这些实用程序通常会替换为无法提供准确信息的副本。
这完全取决于被黑客入侵的内容,但总的来说,
检查未经适当修改的文件的时间戳,并使用成功的ssh(在/ var / log / auth *中)和ftp(在/ var / log / vsftp *中,如果您使用vsftp作为服务器)来交叉引用这些时间找出哪个帐户受到攻击以及攻击来自哪个IP。
如果同一帐户上有很多失败的登录尝试,您可能会发现该帐户是否被强行使用。如果该帐户没有或只有几次失败的登录尝试,则可能是以其他方式发现了密码,并且该帐户的所有者需要进行有关密码安全性的讲座。
如果IP来自附近某处,则可能是一项“内部工作”
如果root帐户遭到破坏,那么您当然会遇到大麻烦,如果可能的话,我将重新格式化并重新构建该文件箱。当然,您仍然应该更改所有密码。
您必须检查所有正在运行的应用程序的日志。例如,Apache日志可以告诉您黑客如何在您的系统上执行任意命令。
还要检查您是否正在运行扫描服务器或发送垃圾邮件的进程。如果是这种情况,那么他们所运行的Unix用户可以告诉您如何对您的机器进行黑客攻击。如果它是www数据,那么您知道它是Apache等。
请注意,有时某些程序ps会被替换...
!
您应该关闭硬盘并将其连接到只读接口(这是特殊的IDE或SATA或USB等接口,该接口不允许进行任何写操作,例如:http://www.forensic- ,然后对DD进行完全复制。
您可以将其执行到另一个硬盘驱动器,也可以将其执行到磁盘映像。
然后,将硬盘存放在安全的地方,是没有任何篡改的原始证明!
以后,您可以将克隆的磁盘或映像插入法证计算机中。如果是磁盘,则应通过只读接口将其插入,如果要使用映像,则将其挂载为“只读”。
然后,您可以一次又一次地处理它,而无需更改任何数据...
仅供参考,互联网上有“被黑客入侵”的系统映像供您练习,因此您可以“在家”进行取证...
PS:被黑的系统崩溃了吗?如果我认为系统已受到威胁,我不会将其保持连接状态,我会在其中放置新的硬盘,并还原备份或将新服务器投入生产,直到法证工作结束为止。
进行内存转储并使用内存取证工具(例如Second Look)对其进行分析。
您应该先问自己:“为什么?”
以下是一些对我有意义的原因:
超越这一点通常是没有意义的。警察通常不在乎,如果这样做了,他们会扣留您的硬件并进行自己的法医分析。
根据发现的结果,您可能可以使自己的生活更加轻松。如果SMTP中继遭到破坏,并且您确定它是由于外部方利用了缺少的修补程序造成的,那么您就完成了。重新安装包装盒,修补需要修补的任何东西,然后继续。
通常,当提起“取证”一词时,人们对CSI有异象,并考虑找出有关所发生事件的各种令人发指的细节。可能就是这样,但是如果没有必要的话,不要把它提升很多。
我强烈建议您阅读SANS研究所的文章“ Linux机器的失败故事 ”。它来自2003年,但今天的信息仍然很有价值。