Linux Localhostから開始された接続

妥協の場合は、通常2つのアイデアがあります。

• それはより多くの損傷を与えるかもしれないので、今すぐネットからマシンを離してください。その特定の抜け穴なしで、悪い男がどのように入ってきて、マシンを最初から再構築しました。バックアップからのみ復元されているのは、「大丈夫」として正確に検証されているもの、「最新のバックアップ」と「いくつかの疑わしいスクリプトを削除する」を復元してはいけません。侵入者があなたの箱があなたの箱に入ったとき、そしていくつかの悪い運によって復元からの復元は、侵入者のルートキットまたはその他のマルウェアを再インストールすることもできます。

• 上記の情報を作成し、その後マシンをオフラインにします。

法医学情報はこれに沿ってより多くのものです。

• https://github.com/504ensicslabs/lime スナップショットRAMディスク（またはネットワーク））
• tcpdump -s 0 -w dumpfile.pcapネットワークトラフィックをキャプチャし、後で別の/専用のホストでこれを分析します。 WIRESHARKや同様のソフトウェアを使用する。

とにかく、 - 攻撃者はTCPに限定されないことに注意してください。それらはまたUDPまたは任意のIPベースのプロトコルを使用することもできます。 - 侵入者がrootアクセスを獲得した場合、それらはロギングメカニズムを変更した可能性があります。本機のログを本当に信頼することはできませんログがフィルタリングされた可能性があります。

一部のiptablesロギングを実行したい場合は、次のようにします。

iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7 _

トリックをするべきです。