被黑客攻击后溯源时的排查范围是:1、系统日志 ;2、网络流量 ;3、文件系统 ;4、应用程序日志;5、用户行为;6、安全设备日志。系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。
一、被黑客攻击后溯源时的排查范围
1、系统日志
系统日志是最基本的排查工具之一,包括操作系统、网络设备、应用程序等的日志记录。通过分析系统日志,可以确定攻击者的行为轨迹、攻击时间和攻击方式等信息。
2、网络流量
网络流量是攻击过程中产生的重要数据,包括网络连接、数据传输、数据包分析等。通过对网络流量进行分析,可以确定攻击者的IP地址、攻击的目标、使用的攻击工具等信息。
3、文件系统
被黑客攻击后,可能会对系统文件、配置文件、应用程序等进行篡改或者删除,因此需要对文件系统进行排查。通过比对系统文件、配置文件、应用程序等的哈希值,可以确定是否存在被篡改的情况。
4、应用程序日志
应用程序日志记录了应用程序的运行状态、访问日志等信息,通过分析应用程序日志,可以确定攻击者的行为、攻击目标等信息。
5、用户行为
黑客攻击通常是通过攻击用户帐号、密码等进行入侵的,因此需要对用户行为进行排查。通过对用户的登录记录、活动记录等进行分析,可以确定是否存在被攻击的情况。
6、安全设备日志
安全设备包括防火墙、入侵检测系统、网络流量监控等设备,它们可以记录攻击过程中的相关信息。通过分析安全设备的日志,可以确定攻击者的攻击方式、攻击目标等信息。