linux box被黑后取证分析的主要步骤是什么？

以下是在重新启动之前要尝试的一些事情：

首先，如果您认为自己可能受到威胁，请拔下网线，以免机器造成进一步损坏。

然后，如果可能，请不要重新启动，通过重新启动可以删除尽可能多的入侵者痕迹。

如果您提前考虑并进行了远程登录，请使用您的远程日志，而不是机器上的日志，因为有人很容易篡改机器上的日志。但是，如果您没有远程日志，请彻底检查本地日志。

检查dmesg，因为这也将在重新启动时被替换。

在 linux 中，可以运行程序——即使在运行文件已被删除之后。使用命令文件 /proc/[0-9]*/exe|grep "(deleted)"检查这些。（当然，这些会在重新启动时消失）。如果要将正在运行的程序的副本保存到磁盘，请使用/bin/dd if=/proc/ filename /exe of= filename

如果您知道 who/ps/ls/netstat 的良好副本，请使用这些工具检查盒子上发生的情况。请注意，如果安装了rootkit，这些实用程序通常会被替换为无法提供准确信息的副本。

这完全取决于被黑客入侵的内容，但总的来说，

检查被不当修改的文件的时间戳，并使用成功的 ssh（在 /var/log/auth* 中）和 ftp（如果您使用 vsftp 作为服务器，在 /var/log/vsftp* 中）交叉引​​用这些时间找出哪个帐户遭到入侵以及攻击来自哪个 IP。

如果同一帐户有很多不成功的登录尝试，您可能会发现该帐户是否被暴力破解。如果该帐户没有或只有几次失败的登录尝试，则可能是通过其他方式发现了密码，该帐户的所有者需要进行有关密码安全的讲座。

如果 IP 来自附近某处，则可能是“内部工作”

如果 root 帐户被盗用，你当然会遇到大麻烦，如果可能的话，我会重新格式化并从头开始重建盒子。当然，无论如何您都应该更改所有密码。

您必须检查正在运行的应用程序的所有日志。例如，Apache 日志可能会告诉您黑客如何在您的系统上执行任意命令。

还要检查您是否正在运行扫描服务器或发送垃圾邮件的进程。如果是这种情况，他们运行的 Unix 用户可以告诉你你的盒子是如何被黑客入侵的。如果它是 www-data 那么你知道它是 Apache 等。

请注意，有时某些程序ps会被替换...

呐呐！

您应该关闭，将硬盘连接到只读接口（它是特殊的 IDE 或 SATA，或 USB 等......不允许任何写入的接口，如下所示：http://www.forensic- computer.com/handBridges.php ) 并与 DD 进行精确的欺骗。

您可以对另一个硬盘执行此操作，也可以对磁盘映像执行此操作。

然后，将该硬盘存放在一个更安全且完全安全的地方，即是原始证据，没有任何篡改！

稍后，您可以将该克隆磁盘或映像插入您的取证计算机。如果是磁盘，则应通过只读接口将其插入，如果要使用映像，请将其挂载为“只读”。

然后您可以一次又一次地处理它，而无需更改任何数据...

仅供参考，互联网上有用于练习的“被黑”系统图像，因此您可以“在家”进行取证...

PS：被黑的系统被打倒了怎么办？如果我认为该系统受到威胁，我不会让它保持连接，我会在那里放置一个新硬盘，并恢复备份或将新服务器投入生产，直到取证完成......

进行内存转储并使用内存取证工具（例如Second Look ）对其进行分析。

你应该先问自己：“为什么？”

以下是一些对我有意义的原因：

• 评估损害
• 弄清楚他们是如何进来的
• 确定是否是内部工作

超出这个范围通常是没有意义的。警察通常不在乎，如果他们这样做了，他们会扣押您的硬件并进行自己的取证分析。

根据您的发现，您可能会让您的生活更轻松。如果 SMTP 中继受到威胁，并且您确定它是由于缺少被外部方利用的补丁，那么您就完成了。重新安装盒子，修补任何需要修补的地方，然后继续。

通常，当提到“取证”这个词时，人们会对 CSI 产生幻想，并考虑找出有关所发生事情的各种令人痛苦的细节。可以是这样，但如果你不需要，不要让它成为一个巨大的提升。

我没有阅读其他回复，但我会制作它的幽灵图像以保存证据并仅检查图像......也许......

我强烈推荐阅读The SANS Institute 的文章“ Dead Linux Machines Do Tell Tales ”。这是从 2003 年开始的，但这些信息在今天仍然很有价值。