分析日志、历史记录、查看是从哪个点获取权限的,然后看攻击者操作了哪些指令,修改或者查看了哪些文件、目录等;如果网页被篡改了看网站有没有备份,有备份的话恢复最近备份的相关文件,或者修改被篡改的网页源码。
3 个回答
可以先断网,然后尽最大可能保护服务器的证据,做备份,然后搭建虚拟机,去溯源。
通过还原文件,分析关联可疑文件,证据链深度挖掘,还原攻击路径和攻击来源。
断网、然后分析被篡改页面的内容在哪,以及是否有其他被篡改的页面,对所有篡改后的文件以及要分析的原始文件做备份,方便后续还要做分析,当然能对系统打个镜像更好,然后常规操作,分析日志、文件、账户、进程、计划任务、注册表等一些列,确认攻击者从哪进来的,进来后都做了什么,除了篡改后还有没有干其他操作