Thu thập thông tin xâm nhập

[nktung]

Sau khi kẻ xâm nhập sử dụng các công cụ trong BackTrack để khai thác thành công lỗ hổng trên một máy chủ, vậy có bạn nào biết phương pháp điều tra dấu vết mà kẻ xâm nhập để lại hay không?

 

Re: Thu thập thông tin xâm nhập

Kiểm tra Event Log, Log Access

 

Re: Thu thập thông tin xâm nhập

Thông thường để kiểm tra login hay các thay đổi trên server thường triển khai hệ thống OSSEC.
Sử dụng chương trình này có thể kiểm tra rất rõ biến động về :
user login, thay đổi thư mục, chane pass... của hệ thống nhiều server sẽ không mất công check log từng con.

 

Re: Thu thập thông tin xâm nhập

Mình được biết là phần mềm độc hại Rootkit có khả năng xóa dấu vết xâm nhập, ví dụ như hành động tắt tính năng ghi nhật ký của hệ điều hành. Vậy nếu máy chủ bị nhiễm rootkit thì làm gì có các bản ghi nhật ký(log) mà điều tra?

 

Re: Thu thập thông tin xâm nhập

Mình được biết là phần mềm độc hại Rootkit có khả năng xóa dấu vết xâm nhập, ví dụ như hành động tắt tính năng ghi nhật ký của hệ điều hành. Vậy nếu máy chủ bị nhiễm rootkit thì làm gì có các bản ghi nhật ký(log) mà điều tra?

Giải pháp OSSEC khắc phục được nhược điểm này.