@Allure
2年前 提问
1个回答
内网渗透后日志痕迹清理要注意什么
GQQQy
2年前
在做日志清理前需要了解以下的内容:
攻击和入侵很难完全删除痕迹,没有日志记录本身就是一种入侵特征;
删除或清理入侵系统的本地日志不代表删除了痕迹,在网络设备、安全设备、集中化日志系统上仍然留存记录;
留存的后门本身会有攻击者的信息;
使用的代理或跳板可能会被反向入侵;
在操作前检查是否有管理员登录;
删除上传的工具,使用磁盘覆写的功能删除。
在做日志清理前需要了解以下的内容:
攻击和入侵很难完全删除痕迹,没有日志记录本身就是一种入侵特征;
删除或清理入侵系统的本地日志不代表删除了痕迹,在网络设备、安全设备、集中化日志系统上仍然留存记录;
留存的后门本身会有攻击者的信息;
使用的代理或跳板可能会被反向入侵;
在操作前检查是否有管理员登录;
删除上传的工具,使用磁盘覆写的功能删除。