当您意识到您的服务器已被入侵时，您会怎么做？ 我最近有机会在德克萨斯州休斯顿举行的西南 Drupal 峰会上听取了Linux Journal的 Kyle Rankin 就此情况发表的令人印象深刻的演讲。

您选择采取的行动非常重要，并且应该在命运攸关的事件发生之前做好准备。 大多数人会花时间在服务器上，试图弄清楚入侵者是如何访问机器的，以及他们一直在做什么。 这不仅存在入侵者有更多时间进行破坏的问题，而且服务器运行的时间越长，关键的取证数据就越有可能丢失。

Kyle 认为，最好的第一步是立即拔掉机器的电源。 不要诊断情况，也不要正常关闭机器。 我们使用日志文件系统是有原因的，并且机器可能会从头开始重建，因此断电导致数据损坏的危险很小。 机器关闭后，您应该使用“dd”之类的工具对受损驱动器进行镜像，并复制镜像，以便在上面进行工作，以防止意外污染证据。

在实时系统上进行调查的问题在于，您将破坏可能从计算机上每个文件存储的元数据中了解到的任何信息。 Linux 使用 MAC 时间来记录最近发生的某些事件。 更改文件上的 MAC 时间的事件是“修改”（文件中的数据被修改）、“访问”（文件的某些部分被读取或执行）和“元数据更改”（文件的权限或所有权被更改）。 通过尽早断开服务器电源，您可以降低入侵者操作记录的 MAC 时间被其他用户更新的可能性。

然后，Kyle 在受损镜像上进行了实时演示，展示了如何使用 The Sleuth Kit 和 Autopsy Browser 进行调查。 这些工具可用于查看日志文件、恢复已删除的文件以及按 MAC 时间对文件系统上的文件进行排序。 有了这些信息，他不仅能够描绘出入侵者如何访问他的机器之一，而且能够描绘出他们访问后所做的事情。

Kyle 是一位优秀的公众演说家，我强烈建议您有机会去听听他的演讲。 他在西南 Drupal 峰会上做的演示文稿幻灯片可在 网上获取，他的 Linux Journal 文章 取证入门 也可在网上获取，他在文章中详细介绍了如何使用这些工具。