云服务器被攻击后如何取证

云服务器被攻击后的取证流程
一、目标与总体原则

• 目标是保全可用于溯源、追责、定损的电子数据，并确保其合法性、客观性、关联性。
• 原则：先控场后取证、先保全后清理、全程留痕、最小改动、优先使用只读/离线方式获取证据。
• 关键动作优先顺序：

1) 立即隔离（控制台断网/仅白名单IP可入）；2) 创建系统盘/数据盘快照与控制台操作审计日志备份；3) 通过VNC/控制台改密并开启MFA；4) 开始取证采集；5) 形成证据清单与校验值归档。
二、现场保护与证据保全

• 隔离与快照
• 在云控制台关闭所有入站/出站规则，仅允许可信IP访问管理口；必要时直接停止实例但先完成快照。
• 立即对系统盘、数据盘创建快照，并导出控制台安全组/防火墙/密钥操作等审计日志。快照用于离线取证，避免后续清理破坏证据。
• 账号与密钥
• 通过VNC/控制台修改云账号与服务器root/管理员密码，开启MFA；禁用或轮换所有API密钥、数据库口令、应用密钥。
• 原始证据采集（只读优先）
• 系统日志：/var/log/（如 auth.log、syslog、messages、cron、secure）；命令历史：~/.bash_history、/root/.bash_history；用户与组：/etc/passwd、/etc/shadow、/etc/group；计划任务：/etc/crontab、/var/spool/cron、/etc/cron.*、crontab -l -u <用户>；网络连接：ss -antp、netstat -antp、lsof -i；进程与启动项：ps -ef、top/htop、systemctl list-units；最近修改文件：find / -mtime -7 -ls；可疑文件与持久化：/tmp、/var/tmp、~/.ssh/authorized_keys、/etc/rc.local、/etc/init.d、/usr/local/bin。
• 取证要点：对关键文件与日志计算并记录哈希值（SHA-256/MD5），使用只读方式拷贝，避免就地修改时间戳与内容。

三、主机与云平台侧取证要点

• 主机侧（Linux）
• 认证与命令轨迹：分析auth.log异常登录、sudo滥用；核对last/lastb异常来源IP与时段；审查~/.bash_history是否出现可疑下载/提权/持久化命令。
• 进程与网络：用ps/ss/lsof定位异常进程及其打开文件、监听端口与对外连接；对可疑进程可执行lsof -p 、netstat -antp | grep 。
• 持久化与后门：检查crontab、/etc/rc.local、systemd服务、~/.ssh/authorized_keys等是否被植入；对新增或修改的二进制、脚本、库文件进行哈希与字符串取证。
• 云平台侧
• 控制台审计：导出安全组/NACL/VPC流日志、IAM操作、控制台登录与密钥操作等日志，建立“账号—实例—网络策略”的变更链。
• 源与通道：结合VPC流日志/云WAF/主机日志还原攻击路径（如某IP访问/cmd.php后执行系统命令），定位漏洞入口与提权链路。
• 扩展取证：必要时对攻击来源主机进行肉鸡取证（在合法授权前提下），获取其控制端、工具与受害者列表，实现事件闭环。

四、证据固化与保全链

• 固化与封装
• 原始证据统一拷贝至只读介质或取证工作站；为每个证据文件生成哈希值并记录采集时间、采集人、工具版本、源路径与系统状态；使用只读挂载/写保护避免二次污染。
• 时间基准与无污损鉴定
• 以“扣押/起获/首次可控”时刻作为无污损鉴定的起始基准时间，确保后续分析可证明证据未被增删改；对关键证据出具或复核无污损鉴定。
• 证据清单与保管
• 形成证据目录与证据登记表（文件名、时间、来源、哈希、采集方式、保管人、用途）；建立保管链（Chain of Custody），全程留痕、版本化管理。
• 合规提示
• 涉及跨境取证、第三方平台数据或可能涉案的情形，建议同步法务/公安网安并在其指导下操作，确保证据具备司法可采性。

五、溯源分析与后续处置

• 溯源画像
• 以“时间线”串联：异常登录 → 漏洞利用 → 提权 → 持久化 → 横向/对外攻击 → 数据外泄/加密；结合访问日志、命令历史、进程/网络连接、计划任务与云平台审计交叉印证，绘制攻击路径与工具特征。
• 处置与加固
• 不建议在原机“打扫战场”，优先基于干净镜像/可信备份重建实例，随后完成：最小权限与MFA、密钥登录+禁用密码、WAF/IPS、补丁更新、最小暴露面（仅开放必要端口）、定期漏洞扫描与审计。
• 风险提示
• 若涉及数据泄露、勒索、业务停摆或存在涉案风险，请尽快联系专业安全应急响应团队与法律顾问，在合规前提下开展取证与通报。