Полезная команда linux для судебной экспертизы на скомпрометированном веб-сервере linux
Чем полезна команда linux для проведения судебной экспертизы на скомпрометированном веб-сервере linux для выдачи какой-либо информации / улик / следов? например, проверка журнала, проверка последнего редактирования файла, подозрительный открытый порт и другие полезные автоматические команды для судебной экспертизы?
1 ответ
dd, Сфотографируйте ваш скомпрометированный компьютер, затем вытрите его и начните все сначала. Вы не можете больше доверять тому, что говорит вам ваш хост.
Как только вы произнесете образ диска, возникает вопрос: "Чего вы хотите достичь"? Если это доказательство / законность, то вам нужно быть невероятно осторожным и, возможно, захотеть проконсультироваться с юристом, прежде чем вы начнете.
Если бы просто выяснить, что случилось, чтобы скомпрометировать это, то я бы начал с:
- найти (искать "странные" разрешения, особенно setuid).
- просматривать двоичные файлы в общих местах (например, путь поиска). md5sum и сверяйте подпись с источником.
- файлы журналов - ищите "нечетные" записи в журналах, и особенно такие вещи, как сбои процессов. Ошибки сегментации - это большой сигнал тревоги для эксплойта переполнения буфера.
Но в конце концов, действительно хороший компромисс системы действительно трудно полностью отследить. Журналы будут "убраны", временные метки исправлены. Единственными надежными источниками являются удаленные наблюдения, такие как удаленный сервер системного журнала, брандмауэр или система обнаружения вторжений... но это те вещи, которые, если у вас нет заранее, вы слишком поздно.