Installa un sistema di rilevamento di intrusioni (IDS) per sapere se il sistema è stato violato
La prima cosa da fare dopo il sospetto di un attacco di hacker è impostare un IDS (sistema di rilevamento delle intrusioni) per rilevare anomalie nel traffico di rete. Dopo che un attacco ha avuto luogo, il dispositivo compromesso può diventare uno zombi automatizzato al servizio hacker. Se l'hacker ha definito compiti automatici all'interno del dispositivo della vittima, è probabile che queste attività producano traffico anomalo che può essere rilevato da sistemi di rilevamento delle intrusioni come OSSEC o Snort che meritano un tutorial dedicato ciascuno, abbiamo quanto segue per iniziare più popolare:
Inoltre, alla configurazione IDS e alla configurazione corretta dovrai eseguire ulteriori attività elencate di seguito.
Monitorare l'attività degli utenti per sapere se il sistema è stato violato
Se sospetti di essere stato violato, il primo passo è assicurarti che l'intruso non sia effettuato l'accesso al tuo sistema, puoi raggiungerlo usando i comandi "w" O "Chi"Il primo contiene ulteriori informazioni:
# w
Nota: I comandi “W” e “Who” potrebbero non mostrare gli utenti registrati da terminali pseudo come il terminale XFCE o il terminale Mate.
La prima colonna mostra il nome utente, In questo caso vengono registrati Linuxhint e Linuxlat, la seconda colonna Tty mostra il terminale, la colonna DA mostra l'indirizzo dell'utente, in questo caso non ci sono utenti remoti ma se lo fossero potresti vedere gli indirizzi IP lì. IL LOGIN@ La colonna mostra l'ora di accesso, la colonna Jcpu riassume i verbali del processo eseguito nel terminale o nel TTY. IL PCPU mostra la CPU consumata dal processo elencato nell'ultima colonna CHE COSA. Le informazioni sulla CPU sono stimative e non esatte.
Mentre w è uguale all'esecuzione Uptime, Chi E PS -A Insieme un'altra alternativa ma meno informativa è il comando "Chi":
# Chi
Un altro modo per supervisionare l'attività degli utenti è tramite il comando "ultimo" che consente di leggere il file wtmp che contiene informazioni sull'accesso di accesso, l'origine di accesso, il tempo di accesso, con funzionalità per migliorare gli eventi di accesso specifici, per provarlo eseguire:
# scorso
L'output mostra il nome utente, il terminale, l'indirizzo di origine, il tempo di accesso e la durata totale della sessione.
Se sospetti che l'attività dannosa da parte di un utente specifico puoi controllare la cronologia di Bash, accedi come utente che si desidera indagare ed eseguire il comando storia Come nell'esempio seguente:
# Su
# storia
Sopra puoi vedere la cronologia dei comandi, questo comandi funziona leggendo il file ~/.Bash_history Situato nella casa degli utenti:
# meno /casa //.Bash_history
Vedrai all'interno di questo file lo stesso output di quando si utilizza il comando "storia".
Naturalmente questo file può essere facilmente rimosso o il suo contenuto forgiato, le informazioni fornite da esso non devono essere prese come un fatto, ma se l'attaccante ha eseguito un comando "cattivo" e si è dimenticato di rimuovere la storia, sarà lì.
Controllare il traffico di rete per sapere se il sistema è stato violato
Se un hacker ha violato la tua sicurezza, ci sono grandi probabilità, ha lasciato una backdoor, un modo per tornare, una sceneggiatura che fornisce informazioni specifiche come lo spam o il mining di bitcoin, ad un certo punto se ha mantenuto qualcosa nel tuo sistema comunicando o inviando qualsiasi informazione devi essere in grado di notarlo monitorando il tuo traffico alla ricerca di attività insolite.
Per iniziare, consente di eseguire il comando iftop che non si verifica sull'installazione standard Debian per impostazione predefinita. Sul suo sito ufficiale IFtop è descritto come "il comando top per l'uso della larghezza di banda".
Per installarlo su Distribuzioni Linux Debian e basate:
# Apt Installa iftop
Una volta installato eseguilo con sudo:
# sudo iftop -i
La prima colonna mostra il localhost, in questo caso Montsegur, => e <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.
Quando si utilizza IFtop Chiudi tutti i programmi usando traffico come browser Web, Messenger, al fine di scartare il maggior numero possibile di connessioni approvate per analizzare ciò che rimane, identificare il traffico strano non è difficile.
Il comando netstat è anche una delle opzioni principali quando si monitora il traffico di rete. Il seguente comando mostrerà le porte di ascolto (L) e attive (a).
# NetStat -la
Puoi trovare ulteriori informazioni su NetStat su come verificare le porte aperte su Linux.
Controllare i processi per sapere se il sistema è stato violato
In ogni sistema operativo quando qualcosa sembra andare storto una delle prime cose che cerchiamo sono i processi per cercare di identificarne uno sconosciuto o qualcosa di sospetto.
# superiore
Contrariamente ai virus classici, una moderna tecnica di hacking potrebbe non produrre grandi pacchetti se l'hacker vuole evitare l'attenzione. Controlla attentamente i comandi e usa il comando lsof -p Per processi sospetti. Il comando LSOF consente di vedere quali file vengono aperti e i loro processi associati.
# lsof -p
Il processo sopra 10119 appartiene a una sessione di bash.
Naturalmente per controllare i processi c'è il comando ps pure.
# PS -Axu
L'output di PS -Axu sopra mostra l'utente nel primo Colum (root), l'ID del processo (PID), che è unico, l'utilizzo della CPU e della memoria per ogni processo, memoria virtuale e dimensione del set di residenti, terminale, lo stato del processo, è ora di inizio e il comando che lo ha avviato.
Se identifichi qualcosa di anormale, puoi verificare con LSOF con il numero PID.
Controllando il sistema per le infezioni da rootkit:
I rootkit sono tra le minacce più pericolose per i dispositivi se non peggio. Fortunatamente c'è un semplice comando che può aiutarci a rilevare i rootkit più noti, il comando chkrootkit (controlla rootkit).
Per installare Chkrootkit su Distribuzioni Linux Debian e basate:
# APT Installa ChkrootKit
Una volta installato semplicemente eseguire:
# sudo chkrootkit
Come vedi, non sono stati trovati rootkit sul sistema.
Spero che tu abbia trovato questo tutorial su come rilevare se il tuo sistema Linux è stato violato "utile.