Come rilevare se il tuo sistema Linux è stato violato

Sig. Valdo Marchetti
Come rilevare se il tuo sistema Linux è stato violato
Quando esiste sospetto, un sistema è stato violato, l'unica soluzione sicura è installare tutto dall'inizio, soprattutto se il target era un server o un dispositivo contenente informazioni che superano l'utente o la privacy personale dell'amministratore. Eppure puoi seguire alcune procedure per cercare di capire se il tuo sistema è stato davvero violato o no.

Installa un sistema di rilevamento di intrusioni (IDS) per sapere se il sistema è stato violato

La prima cosa da fare dopo il sospetto di un attacco di hacker è impostare un IDS (sistema di rilevamento delle intrusioni) per rilevare anomalie nel traffico di rete. Dopo che un attacco ha avuto luogo, il dispositivo compromesso può diventare uno zombi automatizzato al servizio hacker. Se l'hacker ha definito compiti automatici all'interno del dispositivo della vittima, è probabile che queste attività producano traffico anomalo che può essere rilevato da sistemi di rilevamento delle intrusioni come OSSEC o Snort che meritano un tutorial dedicato ciascuno, abbiamo quanto segue per iniziare più popolare:

  • Configurare ID Snort e creare regole
  • Introduzione con OSSEC (sistema di rilevamento delle intrusioni)
  • Avvisi di snort
  • Installazione e utilizzo del sistema di rilevamento delle intrusioni Snort per proteggere i server e le reti

Inoltre, alla configurazione IDS e alla configurazione corretta dovrai eseguire ulteriori attività elencate di seguito.

Monitorare l'attività degli utenti per sapere se il sistema è stato violato

Se sospetti di essere stato violato, il primo passo è assicurarti che l'intruso non sia effettuato l'accesso al tuo sistema, puoi raggiungerlo usando i comandi "w" O "Chi"Il primo contiene ulteriori informazioni:

# w

Nota: I comandi “W” e “Who” potrebbero non mostrare gli utenti registrati da terminali pseudo come il terminale XFCE o il terminale Mate.

La prima colonna mostra il nome utente, In questo caso vengono registrati Linuxhint e Linuxlat, la seconda colonna Tty mostra il terminale, la colonna DA mostra l'indirizzo dell'utente, in questo caso non ci sono utenti remoti ma se lo fossero potresti vedere gli indirizzi IP lì. IL LOGIN@ La colonna mostra l'ora di accesso, la colonna Jcpu riassume i verbali del processo eseguito nel terminale o nel TTY. IL PCPU mostra la CPU consumata dal processo elencato nell'ultima colonna CHE COSA. Le informazioni sulla CPU sono stimative e non esatte.

Mentre w è uguale all'esecuzione Uptime, Chi E PS -A Insieme un'altra alternativa ma meno informativa è il comando "Chi":

# Chi

Un altro modo per supervisionare l'attività degli utenti è tramite il comando "ultimo" che consente di leggere il file wtmp che contiene informazioni sull'accesso di accesso, l'origine di accesso, il tempo di accesso, con funzionalità per migliorare gli eventi di accesso specifici, per provarlo eseguire:

# scorso

L'output mostra il nome utente, il terminale, l'indirizzo di origine, il tempo di accesso e la durata totale della sessione.

Se sospetti che l'attività dannosa da parte di un utente specifico puoi controllare la cronologia di Bash, accedi come utente che si desidera indagare ed eseguire il comando storia Come nell'esempio seguente:

# Su
# storia

Sopra puoi vedere la cronologia dei comandi, questo comandi funziona leggendo il file ~/.Bash_history Situato nella casa degli utenti:

# meno /casa //.Bash_history

Vedrai all'interno di questo file lo stesso output di quando si utilizza il comando "storia".

Naturalmente questo file può essere facilmente rimosso o il suo contenuto forgiato, le informazioni fornite da esso non devono essere prese come un fatto, ma se l'attaccante ha eseguito un comando "cattivo" e si è dimenticato di rimuovere la storia, sarà lì.

Controllare il traffico di rete per sapere se il sistema è stato violato

Se un hacker ha violato la tua sicurezza, ci sono grandi probabilità, ha lasciato una backdoor, un modo per tornare, una sceneggiatura che fornisce informazioni specifiche come lo spam o il mining di bitcoin, ad un certo punto se ha mantenuto qualcosa nel tuo sistema comunicando o inviando qualsiasi informazione devi essere in grado di notarlo monitorando il tuo traffico alla ricerca di attività insolite.

Per iniziare, consente di eseguire il comando iftop che non si verifica sull'installazione standard Debian per impostazione predefinita. Sul suo sito ufficiale IFtop è descritto come "il comando top per l'uso della larghezza di banda".

Per installarlo su Distribuzioni Linux Debian e basate:

# Apt Installa iftop

Una volta installato eseguilo con sudo:

# sudo iftop -i

La prima colonna mostra il localhost, in questo caso Montsegur, => e <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Quando si utilizza IFtop Chiudi tutti i programmi usando traffico come browser Web, Messenger, al fine di scartare il maggior numero possibile di connessioni approvate per analizzare ciò che rimane, identificare il traffico strano non è difficile.

Il comando netstat è anche una delle opzioni principali quando si monitora il traffico di rete. Il seguente comando mostrerà le porte di ascolto (L) e attive (a).

# NetStat -la

Puoi trovare ulteriori informazioni su NetStat su come verificare le porte aperte su Linux.

Controllare i processi per sapere se il sistema è stato violato

In ogni sistema operativo quando qualcosa sembra andare storto una delle prime cose che cerchiamo sono i processi per cercare di identificarne uno sconosciuto o qualcosa di sospetto.

# superiore

Contrariamente ai virus classici, una moderna tecnica di hacking potrebbe non produrre grandi pacchetti se l'hacker vuole evitare l'attenzione. Controlla attentamente i comandi e usa il comando lsof -p Per processi sospetti. Il comando LSOF consente di vedere quali file vengono aperti e i loro processi associati.

# lsof -p

Il processo sopra 10119 appartiene a una sessione di bash.

Naturalmente per controllare i processi c'è il comando ps pure.

# PS -Axu

L'output di PS -Axu sopra mostra l'utente nel primo Colum (root), l'ID del processo (PID), che è unico, l'utilizzo della CPU e della memoria per ogni processo, memoria virtuale e dimensione del set di residenti, terminale, lo stato del processo, è ora di inizio e il comando che lo ha avviato.

Se identifichi qualcosa di anormale, puoi verificare con LSOF con il numero PID.

Controllando il sistema per le infezioni da rootkit:

I rootkit sono tra le minacce più pericolose per i dispositivi se non peggio. Fortunatamente c'è un semplice comando che può aiutarci a rilevare i rootkit più noti, il comando chkrootkit (controlla rootkit).

Per installare Chkrootkit su Distribuzioni Linux Debian e basate:

# APT Installa ChkrootKit


Una volta installato semplicemente eseguire:

# sudo chkrootkit


Come vedi, non sono stati trovati rootkit sul sistema.

Spero che tu abbia trovato questo tutorial su come rilevare se il tuo sistema Linux è stato violato "utile.

PHP
Come usare la pausa e continuare in PHP?
In PHP, l'istruzione di interruzione viene utilizzata per terminare un'istruzione Loop o Switch ment...
Nunzia Martini
PHP
Come verificare se un array è vuoto in PHP?
Trovare un array vuoto in PHP è fondamentale per garantire l'esecuzione del codice regolare e senza ...
Cristyn De Santis
C ++
Come utilizzare l'operatore di assegnazione di sottrazione in C ++
In C ++ il -= è un operatore di assegnazione di sottrazione, sottrae due valori laterali opposti dal...
Osea Martini
Pitone
Numpy Save dict
Dr. Folco Leone
Pitone
Python Oserror
Nunzia Martini
Pitone
Python non tutti gli argomenti convertiti durante la formattazione della stringa
Dr. Ursula Marini
Sqlite
Come utilizzare l'app Web SQLite Viewer
Sig. Valdo Marchetti
PHP
Come recuperare l'elenco dei fusi di tempo PHP
Domiziano Conte
Giava
Come convertire una mappa in una stringa in Java?
Domiziano Conte
AWS
Come utilizzare la sessione gestore del gestore di sistemi AWS?
Sig. Valdo Marchetti
Wireshark
Comprensione del DHCP usando Wireshark
Dr. Evita Damico
PHP
Come aggiungere a un array in PHP?
Piererminio De luca
C ++
Differenza tra privato e protetto in C ++
Sig. Valdo Marchetti