@Allure
2年前 提问
1个回答

内网渗透后日志痕迹清理要注意什么

GQQQy
2年前

在做日志清理前需要了解以下的内容:

  • 攻击和入侵很难完全删除痕迹,没有日志记录本身就是一种入侵特征;

  • 删除或清理入侵系统的本地日志不代表删除了痕迹,在网络设备、安全设备、集中化日志系统上仍然留存记录;

  • 留存的后门本身会有攻击者的信息;

  • 使用的代理或跳板可能会被反向入侵;

  • 在操作前检查是否有管理员登录;

  • 删除上传的工具,使用磁盘覆写的功能删除。