Linux服务器安全事件应急的一些随笔 - 备份篇

前言

最近连着碰到几起Linux服务器的安全应急响应，之前这方面的经验也不是很足，都是平时刷刷大家写的文章靠着一些Linux下的基础知识去分析着这几次碰到的事件，事后想想，在面对这几次的应急事件有很多地方考虑的不是很全面，随写此文纪录下心中所想。尽量用系统本身最基础的功能完成前期应急取证的备份工作。

划重点

重要的事情说四遍

备份！ 备份！备份！备份！

原始数据的备份在应急响应分析过程中的重要性不言而喻，但在这几次的应急事件中甲方爸爸貌似都忽略了这个问题，当我们到达现场的时候，甲方爸爸要么是已经将被入侵服务器糟蹋了一波，要么是备份了，也只备份了一波日志。

系统镜像备份

备份

# dd if=/dev/sda of=bak.img 

恢复

# dd if=bak.img of=/dev/sdb 

fdisk -l 查看磁盘分区情况

# fdisk -lDisk /dev/sda: 8589 MB, 8589934592 bytes255 heads, 63 sectors/track, 1044 cylinders 
Units = cylinders of 16065 * 512 = 8225280 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: 0x000a7707 
 
   Device Boot      Start         End      Blocks   Id  System 
/dev/sda1   *           1        1013     8136891   8e  Linux LVM 
/dev/sda2            1014        1044      249007+   5  Extended 
/dev/sda5            1014        1044      248976   83  Linux 

df -h 查看磁盘占用情况

# df -hFilesystem            Size  Used Avail Use% Mounted on/dev/mapper/brokenwebapps-root                      7.3G  5.8G  1.2G  84% /none                  497M  176K  497M   1% /devnone                  502M   12K  502M   1% /dev/shmnone                  502M  300K  501M   1% /var/runnone                  502M     0  502M   0% /var/locknone                  502M     0  502M   0% /lib/init/rwnone                  7.3G  5.8G  1.2G  84% /var/lib/ureadahead/debugfs 
/dev/sda5             228M   44M  173M  21% /boot 
/dev/sdb1              12G  159M   12G   2% /test 

# dd if=/dev/sda of=bak.img 进行备份，等个几分钟，备份完成

备份完成后发送至我们的分析系统

# scp bak.img root@192.168.232.132:/root/ 

挂载分析

分析系统环境 - kali 

通过losetup命令虚拟一个loop设备挂载镜像

查看第一个空闲loop设备

# losetup -f/dev/loop0 

（编辑：南平站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!