与 Linux 服务器上的 WHM/CPanel 入侵相关的一些潜在取证来源有哪些?
我知道
/var/log
/usr/local/apache/logs/
/usr/local/cpanel/logs/
/usr/local/apache/domlogs
。
还有什么我可以研究的吗?另外,解析/解释这些数据的好方法是什么?
答案1
我知道 /var/log、/usr/local/apache/logs/、/usr/local/cpanel/logs/、/usr/local/apache/domlogs。
任何受感染服务器上的日志都应被视为可疑的,并且对于取证来说可能毫无价值。
另外,解析/解释这些数据的好方法是什么
在很大程度上,这将取决于哪种日志(它们都有不同的格式),使用 mk1 眼球和经验,但请注意我关于受感染服务器上的日志的价值的评论。