自从漏洞被爆出以来到官方发布公告期间以及漏洞存在的可能之前更早的时间,因为时间过于久远,很难通过一个脚本准确鉴定出自己的系统是否被攻击过
其实现在最重要的点有两个
1.你的系统有没有被植入木马病毒?
这个很简单,各种脚本已经公布,扫一下就好,看论坛里有的人扫出来了有的人没有;
2.最重要的,你的数据被其他人访问,复制,拷贝下载了没有?
这个稍微有点复杂, 我看论坛有人提供过检查nginx的access.log中日志,是否有路径攻击的日志, 有的话基本是实锤了
但是,此方法在更新过官方1.1.18系统后失效, 目前应该是系统升级后把nginx的日志全给清除了,官方这点上做的有点不严谨,现在只能查到更新完系统后的访问日志, 所以此路除了没更新系统的用户外, 基本失效了;
3.我现在说的是我现在的方法
通过查看飞牛自己的日志去佐证有没有被别人窥探访问过
1.去日志应用下导出所有的日志,系统会导出一个csv表格;
2.分析日志,根据硬盘的唤醒和休眠时间, 以及系统的登录日志, 分析日志记录时间是否是你本人在使用, 原理很简单, 只要有人访问你硬盘中的东西, 无论是他通过正常的鉴权还是漏洞,你数据存储盘肯定会从休眠状态变成唤醒状态,通过这种情形你就能发现问题所在了
3.接下来就需要你自己逐条日志去分析了, 结合你电脑的系统日志,个人记忆以及浏览器历史记录,多种条件综合一下, 基本就能确认是否在某个时间段内是否非你本人访问过!!!
4.系统日志基本起始于你装系统的时间,这么多日志足够你翻个顶朝天的了
