论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2007-03-23 17:04 |只看该作者 |倒序浏览

看了很多贴觉得论坛上的朋友们有时候贴出来的信息不足够进行判断分析，想把自己的一些好用检查经验写出来。给大家一起共同参考

1.判断入侵
一般来说系统被入侵都有异常表现，比如系统异常重起，或者文件变动，网络异常。例如syslog无故restart，或者log日志归0，history文件异常，异常的last记录，机器异常reboot。
应该说信条就是怀疑一切，因为现在网络渗透技术非常成熟，一个突破口就可能导致整个网络的失守，一但发现有异常情况就必须马上进行检查。
2.现场保护
最好能先切断网络，保证不被入侵者利用，然后保存系统下的日志如果有条件最好cp移动硬盘或者干净的分区上面。例如shell操作记录，系统messege，各种服务的log。
3.数据分析
由于服务器已经被入侵，当然每个文件都可能被修改，所以ls netstat都是不可以相信的，而且还会给欺骗的结果。所以制作一份静态编译的系统常用命令是必要的。我就制作了一个光盘文件将ls，netstat find这些命令全部放入一个ISO中，以只读方式挂入系统进行检查。相信会有很多发现