入侵取证操作指引

概念

入侵取证是指针对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软、硬件技术，按照符合法律规范的方式，进行认别、保存、分析和提交数字证据的过程。

入侵取证操作流Linux取证—查看进程日志

# cat /var/log/messages

为方便后期筛查，可以导出成文档，如下图操作：

Linux取证—查看服务日志

# cat /var/log/maillog

Linux取证—查看是否有新增用户

# less /etc/passwd

Linux取证—查看是否有特权用户

# grep :0 /etc/passwd

Linux取证—查看passwd文件最后修改时间

# ls -l /etc/passwd

Linux取证—查看进程

#ps -aux

查看某具体进程的打开的端口及文件#:lsof -p pid 如下图：

Linux取证—查看不正常端口

# netstat -nap

Linux取证—ARP记录是否正常

# arp -a

可检查ARP欺骗

Linux取证—检查特权用户

# find / -uid 0 -print

Linux取证—查看远程用户

# awk '/\$1|\$6/{print $1}' /etc/shadow

Linux取证—查看root用户定时任务

# crontab -u root -l

Linux取证—检查自启动

# chkconfig --list/systemctl list-units --type=service

入侵取证检查样例

（1）查看日志信息是否还存在或者是否被清空。

（2）查找系统是否包含隐藏账户

（3）查看机器最近成功登陆的事件和最后一次不成功的登陆事件。

（4）查看机器当前登录的全部用户。

（5）查询服务器异常流量。

（6）如数据库被入侵，查看数据库日志。顾数据库要在初始化开启日志功能

（7）查询异常进程所对应的执行脚本文件。

（8）检测系统中的文件是否被删除或者更改。

（9）可以安装服务器杀毒、IPS等软件工具。

（10）网站安全漏洞等其他方面。

版权说明：请尊重原创版权，版权归本人所有。