哪些 Linux 命令有助于对受感染的 Linux Web 服务器进行取证,以提供信息/证据/回溯?例如检查日志、检查上次文件编辑、可疑的开放端口以及其他有用的自动取证命令?
答案1
dd
。拍摄受感染机器的图像,然后擦除并重新开始。您再也不能相信主机告诉您的任何信息了。
但是,一旦您说出了磁盘映像,问题就变成了“您想要实现什么目的”?如果是证据/法律,那么您将必须非常小心,甚至在开始之前可能还需要咨询法律专业人士。
如果只是为了弄清楚发生了什么事情,那么我会从以下几点开始:
- 查找(寻找“奇怪”的权限,尤其是 setuid)。
- 查看常见位置(例如搜索路径)中的二进制文件。md5sum 并根据源验证签名。
- 日志文件 - 查找日志中的“奇怪”条目,尤其是进程崩溃之类的内容。分段错误是缓冲区溢出漏洞利用的巨大警钟。
但归根结底,一个真正被攻陷的系统是很难彻底追溯的。日志将被“整理”,时间戳将被更正。唯一可靠的来源是主机外监控,例如远程系统日志服务器、防火墙或入侵检测系统……但如果你没有提前掌握这些东西,你就太晚了。