诊断可能的入侵

检查你的日志是第一件事。这应该让您知道是否有人通过任何打开的门进入您的系统（例如， sshd，您是否看到登录时间与您登录的时间不对应？）

检查 /etc 是一个好主意，但这只会告诉你是否有人试图修改你的配置，而不是有人是否真的为了好玩而侵入了你的系统。

另外，您是否为您的平台应用了所有当前的安全补丁？如果没有，请立即执行。

如果您确定您的系统已被渗透，则必须弄清楚他们使用的向量。您说它是家庭服务器：这是否意味着有人破解了您的 wifi 密码，并从 LAN（通常是受信任的网络）进行了攻击，或者有人从 WAN 端通过了您的路由器？

PS我忘了包括一个脚本（你故意运行的）可能出于某种完全合法的原因触及 ~/ 中的文件的可能性。在太担心被黑客入侵之前，这也是需要考虑的事情。

昨晚我参加了一个关于基本计算机取证的非常精彩的演讲。这是他的幻灯片的链接。http://greenfly.org/talks/security/forensics.html他以 Superslueth 的演示结束，这需要您拔下系统上的插头，启动不会自动安装硬盘驱动器的救援 CD，然后以只读方式安装，制作您感兴趣的硬盘或分区的映像，然后将其加载到单独机器上的 SUperslueth 中。这是相当多的工作，但是在运行和安装读/写时使用机器会破坏大量数据。

关于拔掉插头，他建议，因为停止机器可能会在停机过程中导致大量清理工作，这将使查看文件或 MAC 的实际变化更加困难。

修改时间不是可靠的信息来源，因为它可以非常频繁地更改（特别是在主目录上）。手册是这样说的：

 st_mtim     Time when file data was last modified.  Changed by the
             truncate(2), utimes(2), and write(2) system calls.  For di-
             rectories, changed by any system call that alters which files
             are in the directory, such as the unlink(2), rename(2),
             mkdir(2), and symlink(2) system calls.

 st_ctime    Time when file status was last changed (inode data modifica-
             tion).  Changed by the chmod(2), chown(2), link(2),
             rename(2), unlink(2), utimes(2), and write(2) system calls.

因此，如果您运行备份、错误地执行了 chmod * 或类似的操作，则更改/修改时间可能已更改。

现在，关于入侵的话题，事后检查只有在你之前采取了安全措施的情况下才会起作用。如果您没有将日志安全地存储在中央存储库上，那么在目标机器上查找它们是没有用的（任何攻击者都会删除/修改它们）。我的建议：

• 查找开放端口 (netstat)
• 查找正在运行的进程（lsof、ps aux）
• 启用防火墙，安装 IDS（OSSEC 是一个不错的）并查看框
• 也许运行一个rootkit检测器（rootcheck很好：http ://www.ossec.net/en/rootcheck.html ）

不要相信在可疑主机上运行的任何工具。如果您登录并开始查看文件，您可以污染证据并让入侵者猜测您发现了他/她。尝试通过在外部运行流量捕获来密切监视主机的网络流量。寻找任何可疑或异常的连接。如果您没有发现任何东西，请在短暂的停机时间内拍摄硬盘驱动器的完整快照。不要通过正常的关机过程，硬重置它。在分析磁盘映像时，您可以保持系统运行并继续监控其网络流量。