让我们假设黑客能够获得 UNIX 系统的 root 访问权限。他复制了某些文件,然后更改了系统日志文件以删除有关他访问系统的信息。时间戳分析如何帮助检测此访问
答案1
当黑客获得系统的根访问权限时,他们还可以随意修改任何文件时间戳。因此,在同一服务器上进行的任何时间戳分析都必须被视为有缺陷。
答案2
一旦入侵者在计算机上拥有 root 访问权限,一切就都失败了。你不能相信时间戳。
另请参阅“如何处理受感染的服务器” 在 ServerFault 论坛上(不是关于时间戳,而是关于被黑客攻击时如何采取行动)。
答案3
您可以检查二进制文件的时间戳以及上次更新完成的时间。目录上的日期可以提供有关目录何时更改的一些提示。
但这需要一些错误,或者来自非常缺乏经验的人的攻击。
正如其他人已经指出的那样:时间戳可以修改,但通常内核也可以被“修补”,因此您不能信任来自该计算机的任何数据(还有 filde 的校验和)。分离硬盘并从安全机器读取。更好:更换硬盘并重新安装软件(可能是安全的)和备份数据。