@信仰
2年前 提问
1个回答
清除攻击痕迹需要考虑哪些
一颗小胡椒
2年前
清除攻击痕迹需要考虑以下这些:
日志是攻击者获得系统权限后首先要清除的对象,通常清除的方式是删除日志。由于删除日志会导致日志的缺少,在审计时会被发现,因此部分高明的攻击者可能会伪造日志,以避免被审计发现。
需要清除操作系统、安全防护设备(如防火墙、IDS等),以及重要系统服务(如WWW服务等)中记录的日志文件。这些日志文件在不同UNIX操作系统中存放在不同的缺省目录下,通常只有root权限用户才有权修改。攻击者往往先定位攻击活动相关记录,再进行修改或删除,也可以利用特定工具来完成。
伪装IP地址发起攻击,改变攻击方法,使得IDS缺少新的攻击模式特征,无法发现新的攻击行为。干扰IDS的运行,使IDS无法辨认真实的攻击,比如对IDS进行DoS攻击,使其处于报警状态,无法判断真正的攻击行为。
对于攻击时产生的临时文件通常也是采取删除的做法,删除的临时文件在系统上标识其硬盘空间已经被释放,可以用于存储其他数据,但在其他数据未覆盖前,这部分数据始终存在硬盘上,可被数据恢复软件恢复。