@奈良山
2年前 提问
1个回答
怎么防止攻击痕迹被清除
在下炳尚
2年前
官方采纳
有效应对攻击者清除痕迹的方法包括以下几个方面:
要确保攻击者的攻击过程被记录在日志中,通常采取的方法是对日志进行设置,记录尽可能多的信息,将日志的保留时间设置更长,把日志的存储空间设置更大等。
要确保日志记录的信息不会被删除和篡改,通常采取的方法是严格控制日志的权限,例如,为日志设置独立的存储区域,严格权限管理(仅有管理员可读可写等)。
可在网络中设置日志服务器,将日志通过网络保存在另外的服务器上,从而有效地确保日志的安全,例如,在网络中部署syslog日志服务器,所有支持syslog的安全设备、应用系统等都可将日志存储在syslog服务器上。
定时对日志进行分析,查看不正常情况。日志分析过程中需关注记录中的非正常编码。
应重点关注超长的记录;关注日志请求链接中的关键字,如cmd、select、xp_cmdshell、post等,查询日志中是否存在涉及这些关键字的日志记录。