web-dev-qa-ko.com

해킹 된 후에 Linux 상자의 법의학 분석을하는 주요 단계는 무엇입니까?

해킹 된 후에 Linux 상자의 법의학 분석을하는 주요 단계는 무엇입니까?

일반적인 Linux 서버 메일/웹/데이터베이스/FTP/SSH/Samba라고 가정 해 봅시다. 그리고 그것은 스팸을 보내고, 다른 시스템을 스캔하기 시작했습니다. 해킹을 수행하고 책임있는 방법을 찾기 시작하는 방법은 무엇입니까?

15
Kazimieras Aliulis

실행중인 모든 응용 프로그램의 모든 로그를 확인해야합니다. 예를 들어 Apache 로그는 해커가 시스템에서 임의의 명령을 실행하는 방법을 알려줍니다.

또한 서버를 검사하거나 스팸을 보내는 프로세스를 실행하는지 확인하십시오. 이 경우 실행중인 UNIX 사용자는 상자가 해킹 된 방법을 알려줍니다. www-data 인 경우, 아파치 등을 알고 있습니다.

때로는 ps와 같은 일부 프로그램이 대체됩니다 ...

2
Julien Tartarin

나아아!

종료하고 하드 디스크를 읽기 전용 인터페이스에 연결해야합니다 (특수 IDE 또는 SATA 또는 USB 등 ... : http://www.forensic-computers.com/handbridges.php ) DD로 정확한 Dupe를 수행하십시오.

다른 하드 드라이브로 수행하거나 디스크 이미지로 수행 할 수 있습니다.

그런 다음, 하드 디스크가 원래의 증거가없는 프리 퍼와 완전히 안전한 장소에 저장하십시오!

나중에 해당 복제 된 디스크 또는 Forensic 컴퓨터에 이미지를 연결할 수 있습니다. 디스크 인 경우 읽기 전용 인터페이스를 통해 연결해야하며 이미지로 작업 할 경우 '읽기 전용'을 마운트하십시오.

그런 다음 데이터를 변경하지 않고 다시 작업 할 수 있습니다 ...

FYI, 연습을 위해 인터넷에 "해킹 된"시스템 이미지가 있으므로 "집에서 법의학"을 할 수 있습니다 ...

추신 : 해킹 된 시스템은 어떻게 내려 졌습니까? 시스템이 손상되었다고 생각되면, 나는 연결을 남겨 두지 않을 것이고, 나는 새로운 하드 디스크를 넣고, 포렌식이 완성 될 때까지 백업을 복원하거나 프로덕션에 새로운 서버를 넣을 것입니다 ...

1
Andor