1.最好的方法是不丢日志哦(不被hack更好,呵呵),日志文件导到另外的系统中,比如nt系统就很不错,看 他怎么删?呵呵,不过需要big big disk
2.防范,采用一些ids系统,snort,tripwire,(不是不想花钱吗?)这样便更容易抓到atttacker了,不过小心 snort的拒绝服务哦(太多响应怎么办?)
3.事后处理,早早升级,如果发生事件以后,最好尽快备份raid,找一些专用日志分析工具,要大家相信,没有100%的入侵者,不管rm的多严密,一定会留下蛛丝马迹的,最近实在《黑客挑战》看的有点多了,呵呵,到处找朋友要入侵日志分析,大家见我都怕了,嘿嘿,在此象朋友们说声对不起啦。
记得防范和勤奋的作用,快点升级你的系统/软件,防火墙,免得事后有的哭,日志必不可少,呵呵。
