看你这样说卷组,挂载等 应该是linux/unix主机,相关的主机系统入侵的时候有相关日志记录的,如果要找入侵者需要根据不同的系统查看不同的日志信息,不知道你日志是主机保存的还是有相应的日志服务器进行保存
如果是主机保存,估切当你是linux系统 使用 lastb,查看系统登录的错误信息,有没有存在22端口破解口令的登录错误信息 last,lastlog查看系统用户登录记录和最后一次登录时间 查看你怀疑时间段时内的web服务的访问和错误日志,详细分析一下 查看一下history记录,看是否存在可疑操作,特别是 dd if=/dev/null of=/dev/sdc1等 你现在提的需求之前连你系统,环境都 没详细说明,没办法给你具体的帮助,如果你对系统非常了解,不应该发这求助文件,如果对系统不解,不建议你做这些操作,因为可能不当操作会进一步破坏证据等,最好求助专业的安全公司! 至于数据,看是通过什么方式破坏的吧,还有你原有的文件系统是什么分区格式,然后才能说相应的恢复方法,不是一下就能说的清的 2009/5/24 x-safe <[email protected]> > > 问题是这样的,服务器上3T的数据突然什么也没有了,我怀疑是被攻击了! > 环境是这样的,服务器A提供Web服务,硬盘数据来自一个磁盘阵列,11块硬盘构成的卷组,从卷组上划分了sdc1 sdd1 sde1 > 给A服务器,每个分区是1.8T! > > 21号早晨6:40分访问A服务器好使,8:30访问A服务器出现异常,立即查找原因,发现sdc1 sdd1 sde1 > 数据全部没了,查找message日志 和 secure日志 > 没有发现从6:40-8:30的22端口链接,因为防火墙只允许特定的iP段链接A服务器,查找防火墙日志没有发现链接22端口的迹象。查找WEb的所有目录,web文件不是很多,没有发现webshell之类的文件!联系磁盘厂家,厂家来人检查硬盘后发现硬盘没有问题,因为可以正常挂载和使用! > 大家说说应该总哪方面来查找一些线索呢?谢谢各位了! > > > ------------------------------ > 穿越地震带 > 纪念汶川地震一周年<http://512.mail.163.com/mailstamp/stamp/dz/activity.do?from=footer>> > --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
