20CN网络安全小组论坛 - 黑客进阶

论坛: 黑客进阶标题: 系统恢复指南：

作者: sadboy [chiruwn]

论坛用户

一．准备工作：
     商讨安全策略，如果你的组织没有自己的安全策略，请你按以下内容设置安全策略：
     1. 和管理人员进行协商
     2. 和法律人员进行协商
     3. 报警
     4. 知会有关人员
     5. 纪录恢复中所有步骤
二．夺回控制系统控制权：
     1. 将入侵系统从网络上断开
     2. 复制一份被侵入的系统镜像
     3. 找一块和被入侵系统大小，类型相同的硬盘，如果被入侵的系统是Windows，可以使用ghost软件进行  镜像，如果是UNIX系统：如果有两块SCST硬盘sda,sdb。
              #dd if=/dev/sda  of=/dev/sdb
三. 入侵分析：
    现在我们可以通过日志文件和系统配置文件来检查本入侵的过程：
    1. 检查入侵者对系统软件和配置文件的修改
       a. 检查系统中所有的二进制文件：
          telnet,login,su,FTP,ls,ps,Netstat,ifconfig,find,du,df,sync
       b. 检查系统配置文件：
          检查etc目录下的passwd文件有没有可疑用户
          检查etc目录下的inetd.cof是否有特殊端口以唤醒木马
       c. 检查所有的带suid和sgid的文件，使用以下命令查找：
          #find ( -perm -00400 -o -perm -002000) -type f -print
    2. 检查被修改的数据，入侵者经常会修改系统中的数据，所以建议对web页面文件和FTP文件存档
    3. 检查入侵者留下的数据和工具，入侵者一般会在系统中留下以下文件：
       1. 网络嗅探器
       2. 特洛伊木马
       3. 后门
       4. 安全缺陷，攻击程序
       5. 系统安全探测工具
       6. 对其它站点发起大规模攻击的脚本
       7. 拒绝服务攻击的工具
       8. 被入侵主机和网络资源上的文件
    4. 搜索的主要方向：
       检查UNIX或Linux低位目录下面的一些意外的ASCII码文件，因为一些特洛伊木马的文件通常在低位目录  的下面：
           #file * |grep ASCII
       检查一些奇怪的目录，比如说.，..的目录
    5. 审查系统中的日志文件Messages，这个日志文件保存了大量信息，可以从这个文件中发现异常，检查入侵过程中发生了哪些事情
       xferlog这个文件如果被入侵系统提供ftp，这个文件就会纪录下所有的ftp过程
       vtmp保存着当前登录用户的信息，可以用who命令查找
       wtmp保存着用户成功登录的信息和退出登录的信息，以及重启的信息

地主发表时间: 01/13 12:21

回复: quest [quest]

版主

看看各个用户的history。特别是uid=0的

B1层发表时间: 01/15 10:23

论坛: 黑客进阶