被黑客攻击后对linux box进行取证分析的主要步骤是什么？

重新启动之前，请尝试以下几点：

首先，如果你认为你可能会妥协拔掉你的网线，所以机器不能做进一步的损害。

然后，如果可能的话， 不要重新启动 ，因为许多入侵者的痕迹可以通过重新启动来消除。

如果你想到了，并且有了远程日志logging ，那么使用你的远程日志而不是机器上的日志，因为对于有人来说，篡改机器上的日志非常容易。 但是，如果您没有远程日志，请仔细检查本地日志。

检查dmesg ，因为这将在重新启动时被replace。

在Linux中，可以运行程序 – 即使在运行文件被删除之后。 使用命令文件/ proc / [0-9] * / exe | grep“（删除）”检查这些文件 。 （当然，这些在重新启动时会消失）。 如果要将正在运行的程序的副本保存到磁盘，请使用/ bin / dd if = / proc / filename / exe of = filename

如果您已经知道 who / ps / ls / netstat的好副本 ，请使用这些工具来检查框中正在进行的操作。 请注意，如果安装了rootkit ，这些实用程序通常会被replace为不能提供准确信息的副本。

这完全取决于被黑的东西，但总的来说，

检查修改不当的文件的时间戳，并用成功的ssh（在/ var / log / auth *）和ftp（如果你使用vsftp作为服务器时在/ var / log / vsftp *中）交叉引​​用那些时间找出哪个帐户被入侵以及攻击来自哪个IP。

如果在同一个帐户上有很多不成功的login尝试，您可能会发现该帐户是否被强制使用。 如果该帐户没有或只有less数失败的login尝试，那么可能是通过其他方式发现了密码，并且该帐户的所有者需要一个关于密码安全的讲座。

如果知识产权来自附近的某个地方，那可能是一个“内部工作”

如果root帐户被攻破，当然你会遇到很大的麻烦，如果可能的话，我会尽可能地重新格式化和重build这个盒子。 当然，你应该改变所有的密码。

您必须检查正在运行的应用程序的所有日志。 例如，Apache日志可能会告诉您黑客如何在您的系统上执行任意命令。

同时检查您是否正在运行扫描服务器或发送垃圾邮件的进程。 如果是这样的话，他们运行的Unix用户可以告诉你你的盒子是如何被黑客入侵的。 如果是www-data，那么你知道它是Apache等

请注意有时候一些像ps这样的程序被replace…

你应该首先问自己：“为什么？”

以下是对我来说有意义的一些原因：

• 评估损害
• 他们是怎么进来的
• 确定是否是内部工作

超越这往往是没有意义的。 警察往往不在乎，如果他们这样做，他们会扣留你的硬件，并做自己的法医分析。

根据你的发现，你可能会让你的生活变得更加简单。 如果SMTP中继受到攻击，并且您确定这是由于外部用户利用缺less的修补程序，则表示已完成。 重新安装盒子，修补任何需要修补的东西，然后继续前进。

通常当“取证”这个词出现的时候，人们就有了CSI的想法，并想到了解所发生的事情的各种令人费解的细节。 它可以是，但是如果你不必这么做，那么不要让它变成一个巨大的提升。

Naaah！

您应该closures，将硬盘连接到一个只读接口（这是一个特殊的IDE或SATA或USB等接口，不允许任何写入，如下所示： http：//www.forensic- computers.com/handBridges.php ），并用DD做一个确切的重复。

你可以把它做到另一个硬盘，或者你可以把它做到一个磁盘映像。

然后，存储在一个profer和完全安全的地方，硬盘，是原始的certificate，没有任何篡改！

稍后，您可以将该克隆磁盘或图像插入取证计算机。 如果是磁盘，则应将其插入只读界面，如果要使用图像，请将其挂载为“只读”。

然后，您可以一次又一次地处理它，而无需更改任何数据…

仅供参考，因特网上有“黑客入侵”的系统图片供您练习，所以您可以在家“做法证”。

PS：被黑的系统怎么样？ 如果我认为这个系统被破坏了，我不会把它连接起来，我会把一个新的硬盘放在那里，并且恢复一个备份或者把一个新的服务器投入生产，直到取证结束。

进行内存转储并使用内存取证工具（如Second Look）进行分析 。

我还没有读到其他的答案，但我会做一个鬼的形象来保存证据，只检查图像….也许…

我强烈推荐阅读The SANS Institute的文章“ Dead Linux Machines Do Tell Tales ”。 这是从2003年开始的，但是今天的信息还是有价值的。