Linux 系统被黑客入侵后进行取证分析的主要步骤是什么？

重新启动之前请尝试以下操作：

首先，如果你认为自己可能受到威胁拔掉网线这样机器就不会造成进一步的损害。

然后，如果可能的话避免重启因为许多入侵者的痕迹都可以通过重新启动来消除。

如果你提前考虑，并且远程日志记录就地使用远程日志，而不是机器上的日志，因为有人很容易篡改机器上的日志。但是，如果您没有远程日志，请彻底检查本地日志。

查看消息，因为这在重启时也将被替换。

在 Linux 中，即使删除了正在运行的文件，也可能有程序在运行。使用以下命令检查这些程序文件 /proc/[0-9]*/exe|grep "(已删除)". （当然，这些会在重启时消失）。如果要将正在运行的程序的副本保存到磁盘，请使用/bin/dd if=/proc/文件名/exe 的=文件名

如果你有已知的良好副本who/ps/ls/netstat，使用这些工具检查机器上正在发生的事情。请注意，如果根工具包已经安装，这些实用程序通常会被无法提供准确信息的副本所取代。

这完全取决于被黑客攻击的内容，但一般来说，

检查被不当修改的文件的时间戳，并将这些时间与成功的 ssh（在 /var/log/auth* 中）和 ftp（在 /var/log/vsftp* 中，如果您使用 vsftp 作为服务器）交叉引用，以找出哪个帐户受到了损害以及攻击来自哪个 IP。

如果同一帐户多次登录失败，您很可能可以发现该帐户是否遭到暴力破解。如果该帐户没有或只有几次登录失败，那么密码很可能以其他方式被破解，该帐户的所有者需要接受密码安全方面的培训。

如果 IP 来自附近某个地方，则可能是“内部作案”

如果 root 帐户被盗用，那你当然麻烦大了，如果可能的话，我会重新格式化并重建该机器。当然，你无论如何都应该更改所有密码。

您必须检查所有正在运行的应用程序的日志。例如，Apache 日志可能会告诉您黑客如何在您的系统上执行任意命令。

还要检查您是否正在运行扫描服务器或发送垃圾邮件的进程。如果是这种情况，则运行它们的 Unix 用户可以告诉您您的机器是如何被黑客入侵的。如果是 www-data，那么您就知道是 Apache 等。

请注意，有时ps会替换一些类似的程序……

采取内存转储并使用内存取证工具进行分析，例如再看。