免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3007 | 回复: 2
打印 上一主题 下一主题

关于可能被攻击或者攻击后的检查 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-03-23 17:04 |只看该作者 |倒序浏览
看了很多贴觉得论坛上的朋友们有时候贴出来的信息不足够进行判断分析,想把自己的一些好用检查经验写出来。给大家一起共同参考

1.判断入侵
一般来说系统被入侵都有异常表现,比如系统异常重起,或者文件变动,网络异常。例如syslog无故restart,或者log日志归0,history文件异常,异常的last记录,机器异常reboot。
应该说信条就是怀疑一切,因为现在网络渗透技术非常成熟,一个突破口就可能导致整个网络的失守,一但发现有异常情况就必须马上进行检查。
2.现场保护
最好能先切断网络,保证不被入侵者利用,然后保存系统下的日志如果有条件最好cp移动硬盘或者干净的分区上面。例如shell操作记录,系统messege,各种服务的log。
3.数据分析
由于服务器已经被入侵,当然每个文件都可能被修改,所以ls netstat都是不可以相信的,而且还会给欺骗的结果。所以制作一份静态编译的系统常用命令是必要的。我就制作了一个光盘文件将ls,netstat  find这些命令全部放入一个ISO中,以只读方式挂入系统进行检查。相信会有很多发现

论坛徽章:
0
2 [报告]
发表于 2007-03-23 17:06 |只看该作者
我看了很求助贴,觉得有些时候很为难因为信息不全,
我想如果朋友求助时候,能带上系统环境,比如操作系统的版本,运行的服务,已经一些开启的应用,一些LOG如果没有什么重要信息可以打包贴出来,也方便问题查找和建议

论坛徽章:
0
3 [报告]
发表于 2007-03-26 15:35 |只看该作者
强,受益了,多谢多谢
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP