近半年做了很多應急響應項目,針對黑客入侵。但疲于沒有時間來總結一些常用的東西,寄希望用這篇博文分享一些安全工程師在處理應急響應時常見的套路,因為方面眾多可能有些雜碎。

個人認為入侵響應的核心無外乎四個字,順藤摸瓜。我們常常需要找到比較關鍵的信息后通過一些指令查詢或者分析日志,逐步分析黑客的具體步驟。

  • 入侵后需要被關注的Linux系統(tǒng)日志
1
var/log/cron    記錄crontab命令是否被正確的執(zhí)行,一般會被黑客刪除

網友評論