论坛: 黑客进阶 标题: 系统恢复指南: 复制本贴地址    
作者: sadboy [chiruwn]    论坛用户   登录
一. 准备工作:
     商讨安全策略,如果你的组织没有自己的安全策略,请你按以下内容设置 安全策略:
     1. 和管理人员进行协商
     2. 和法律人员进行协商
     3. 报警
     4. 知会有关人员
     5. 纪录恢复中所有步骤
二.夺回控制系统控制权:
     1. 将入侵系统从网络上断开
     2. 复制一份被侵入的系统镜像
     3. 找一块和被入侵系统大小,类型相同的硬盘,如果被入侵的系统是Windows,可以使用ghost软件进行  镜像,如果是UNIX系统:如果有两块SCST硬盘sda,sdb。
              #dd if=/dev/sda  of=/dev/sdb
三. 入侵分析:
    现在我们可以通过日志文件和系统配置文件来检查本入侵的过程:
    1. 检查入侵者对系统软件和配置文件的修改
       a. 检查系统中所有的二进制文件:
          telnet,login,su,FTP,ls,ps,Netstat,ifconfig,find,du,df,sync
       b. 检查系统配置文件:
          检查etc目录下的passwd文件有没有可疑用户
          检查etc目录下的inetd.cof是否有特殊端口以唤醒木马
       c. 检查所有的带suid和sgid的文件,使用以下命令查找:
          #find ( -perm -00400 -o -perm -002000) -type f -print
    2. 检查被修改的数据,入侵者经常会修改系统中的数据,所以建议对web页面文件和FTP文件存档
    3. 检查入侵者留下的数据和工具,入侵者一般会在系统中留下以下文件:
       1. 网络嗅探器
       2. 特洛伊木马
       3. 后门
       4. 安全缺陷,攻击程序
       5. 系统安全探测工具
       6. 对其它站点发起大规模攻击的脚本
       7. 拒绝服务攻击的工具
       8. 被入侵主机和网络资源上的文件
    4. 搜索的主要方向:
       检查UNIX或Linux低位目录下面的一些意外的ASCII码文件,因为一些特洛伊木马的文件通常在低位目录  的下面:
           #file * |grep ASCII
       检查一些奇怪的目录,比如说.,..的目录
    5. 审查系统中的日志文件Messages,这个日志文件保存了大量信息,可以从这个文件中发现异常,检查入 侵过程中发生了哪些事情
       xferlog这个文件如果被入侵系统提供ftp,这个文件就会纪录下所有的ftp过程
       vtmp保存着当前登录用户的信息,可以用who命令查找
       wtmp保存着用户成功登录的信息和退出登录的信息,以及重启的信息



地主 发表时间: 01/13 12:21

回复: 探索者 [quest]   版主   登录
看看各个用户的history。特别是uid=0的

B1层 发表时间: 01/15 10:23

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号