Найти в Дзене
takoedelo
1354 подписчика

Был ли взломан ваш сервер Linux или нет?

323
3 мин
Мы часто сталкиваемся с попытками вторжения в нашу инфраструктуру. У злоумышленников может быть много интересов, например, кража данных, использование вашей вычислительной мощности ... Большинство хакеров принимают меры предосторожности при выполнении незаконных действий и всегда пытаются скрыть себя от поимки. Как только система скомпрометирована, хакер всегда устанавливает некоторый бэкдор на скомпрометированную систему для поддержания доступа. Сегодня мы покажем, как мы можем проверить, взломан ли ваш сервер Linux или нет? Пользователи и оболочка /etc/passwd & /etc/shells Вы можете проверить, что на вашем сервере нет нового неизвестного пользователя Информация о локальном пользователе хранится в файле /etc/passwd. Каждая строка в этом файле представляет информацию для входа одного пользователя Каждая строка файла имеет семь полей, разделенных двоеточиями, которые содержат следующую информацию: Вы также можете отображать только пользователя, который может использовать оболочку : /etc
Оглавление

Мы часто сталкиваемся с попытками вторжения в нашу инфраструктуру. У злоумышленников может быть много интересов, например, кража данных, использование вашей вычислительной мощности ... Большинство хакеров принимают меры предосторожности при выполнении незаконных действий и всегда пытаются скрыть себя от поимки. Как только система скомпрометирована, хакер всегда устанавливает некоторый бэкдор на скомпрометированную систему для поддержания доступа. Сегодня мы покажем, как мы можем проверить, взломан ли ваш сервер Linux или нет?

Пользователи и оболочка

/etc/passwd & /etc/shells

Вы можете проверить, что на вашем сервере нет нового неизвестного пользователя

Информация о локальном пользователе хранится в файле /etc/passwd. Каждая строка в этом файле представляет информацию для входа одного пользователя

-2

Каждая строка файла имеет семь полей, разделенных двоеточиями, которые содержат следующую информацию:

-3

Вы также можете отображать только пользователя, который может использовать оболочку :

-4

/etc/shells-это текстовый файл Linux, который содержит полные имена допустимых оболочек входа.

-5

Пользователи он-лайн

Проверьте, кто в данный момент вошел на ваш сервер. Это не необычно, чтобы найти вошедшего в систему злоумышленника он-лайн.

-6

У вас будут некоторые данные :

-7

Последние зарегистрированные пользователи

Шаг 2 : last позволит вам увидеть, кто вошел на сервер. Он возвращается до установки сервера. lastb позволяет вам увидеть, кто пытался войти на сервер (lastb = неудачный вход в систему)

-8
-9

Сеть

Открытые порты

Хакер может установить бэкдор на ваш сервер. Этот бэкдор откроет TCP или UDP-порт в Интернет, поэтому хакер сохранит доступ к машине.

Мы можем использовать команду “netstat-lntup”. Эта команда перечислит все сетевые подключения в нашей системе.

-10

Мониторинг сетевого трафика

Вы можете использовать iftop для мониторинга сетевого трафика в режиме реального времени. Он покажет вам источник / пункт назначения и трафик.

-11

Interface TOP (IFTOP)-это консольный инструмент мониторинга пропускной способности сети в реальном времени,iftop не установлен по умолчанию.

Сетевые карты и маршруизаторы

Трафик может быть перенаправлен злоумышленником, а сетевые карты могут быть изменены (добавлены, удалены...). Вы можете проверить сетевые карты с помощью команды ip

-12

Чтобы проверить ваши роутеры и убедиться, что роутеры не были добавлены, вы можете использовать команду ip route

-13

Попытка подключения SSH

Вы можете проанализировать свои журналы, чтобы проверить попытку подключения SSH. Каждая попытка записывается в /var/log/auth.log для DEB или /var/log/secure для Centos/Redhat

-14

История команд

Linux хранит команды в истории, которые мы используем в терминале. Выдав команду history, мы можем увидеть список команд, выполняемых пользователем в терминале.

Другие полезные команды :

  • tail -n 200 ~/.bash_history | more
  • cat ~/.bash_history | more
  • cat /home/USER_YOU_WANT_TO_VIEW/.bash_history
-15

Я предлагаю вам сохранять свою историю из файла .bash_history … любой хакер может удалить его.

Недавно измененные файлы

Если вы подверглись атаке, некоторые файлы, вероятно, будут изменены в вашей системе. Вы можете найти их с помощью очень мощного инструмента поиска.

Файл в Linux содержит три метки времени:

  • atime: время доступа или время последнего доступа
  • mtime: время изменения или время последнего изменения
  • ctime: время изменения или время последнего изменения

Вот пример, чтобы найти только файлы, которые были изменены менее чем за 2 дня :

-16

Я предлагаю вам проверить следующие папки более подробно :

  • /tmp
  • /root/.ssh/
  • /home/other-users/.ssh/

Процессы

Посмотрите на процессы которые нагружают процессор. Хакеры с доступом корневого уровня обычно используют как можно больше ресурсов сервера для взлома других серверов, рассылки спама по электронной почте или майнинга криптовалюты.

Мы можем использовать команду top, но можно использовать , htop который дает вам больше возможностей

-17

Если вы не распознаете процесс, попробуйте lsof-p 678 или strace-p 678 (заменив “678” фактическим идентификатором процесса).

Lsof покажет все файлы, запущенные процессом (очень полезно).

Strace используется для отслеживания системных вызовов и сигналов. который будет интерпретировать и записывать системные вызовы, сделанные процессом. Мы используем эту команду для отладки и устранения неполадок в операционной системе Linux.

Заключение

Это хорошее начало, чтобы проверить, был ли ваш сервер взломан, но этого недостаточно, ведь можно стереть эти следы и быть почти невидимым.

Где изучать Linux

Лучшие дистрибутивы Linux для старых ноутбуков

Забавные дистрибутивы Linux

1