Сервер Weblogic был взломан, и теперь проблема устранена. Сейчас я просматриваю зараженные виртуальные машины в песочнице и хочу узнать, был ли доступ к каким-либо данным на серверах приложений. серверы приложений были забиты ssh-запросами, поэтому мы идентифицировали зараженные виртуальные машины как VMS веб-логики, у нас не было входа в систему http. Есть ли способ определить, была ли скомпрометирована какая-либо PII?
Просмотрел безопасные журналы в weblogic, а также просмотрел журналы PIA. Я не уверен, как определить, что, если к каким-либо данным был получен доступ.
Я хотел бы узнать, что ушло из нашей сети, а также информацию или данные
что я должен искать
есть ли что-нибудь, что я могу узнать, глядя на серверы weblogic, работающие на красной шляпе?