Installer et inntrengingsdeteksjonssystem (IDS) for å vite om systemet har blitt hacket
Første ting å gjøre etter mistanke om et hackerangrep er å sette opp en IDS (inntrengingsdeteksjonssystem) for å oppdage anomalier i nettverkstrafikken. Etter at et angrep har funnet sted, kan den kompromitterte enheten bli en automatisert zombie på Hacker -tjenesten. Hvis hackeren definerte automatiske oppgaver i offerets enhet, vil disse oppgavene sannsynligvis produsere anomal trafikk som kan oppdages ved inntrengingsdeteksjonssystemer som OSSEC eller Snort som fortjener en dedikert opplæring hver, har vi følgende for deg å komme i gang med den mest populær:
I tillegg, til IDS -oppsettet og riktig konfigurasjon, må du utføre flere oppgaver som er listet opp nedenfor.
Overvåke brukernes aktivitet for å vite om systemet er blitt hacket
Hvis du mistenker at du ble hacket det første trinnet er å sørge for at inntrengeren ikke er logget inn i systemet ditt, kan du oppnå det ved hjelp av kommandoer "w”Eller“WHO”, Den første inneholder tilleggsinformasjon:
# w
Merk: Kommandoer “W” og “WHO” viser kanskje ikke brukere som er logget fra pseudoterminaler som XFCE Terminal eller Mate Terminal.
Den første kolonnen viser Brukernavn, I dette tilfellet er Linuxhint og Linuxlat logget, den andre kolonnen Tty viser terminalen, kolonnen FRA viser brukeradressen, i dette tilfellet er det ikke eksterne brukere, men hvis de var, kan du se IP -adresser der. De LOGG INN@ kolonnen viser påloggingstiden, kolonnen JCPU oppsummerer protokollen med prosess utført i terminalen eller TTY. de PCPU viser CPU -forbruket av prosessen som er oppført i den siste kolonnen HVA. CPU -informasjon er estimativ og ikke nøyaktig.
Samtidig som w tilsvarer å utføre oppetid, WHO og ps -a Sammen et annet alternativ, men mindre informativt er kommandoen "WHO”:
# WHO
En annen måte å føre tilsyn med brukernes aktivitet er gjennom kommandoen "sist" som gjør det mulig å lese filen WTMP som inneholder informasjon om innloggingsadgang, påloggingskilde, påloggingstid, med funksjoner for å forbedre spesifikke påloggingshendelser, for å prøve den kjører:
# siste
Utgangen viser brukernavn, terminal, kildeadresse, påloggingstid og økt total tidsvarighet.
Hvis du mistenker om ondsinnet aktivitet av en bestemt bruker, kan du sjekke bashistorikken, logge inn som brukeren du vil undersøke og kjøre kommandoen historie Som i følgende eksempel:
# su
# historie
Over kan du se kommandohistorikken, denne kommandoen fungerer ved å lese filen ~/.bash_history Ligger i brukernes hjem:
# mindre /hjem //.bash_history
Du vil se i denne filen den samme utgangen enn når du bruker kommandoen “historie”.
Selvfølgelig kan denne filen enkelt fjernes eller innholdet er smidd, informasjonen som er gitt av den, må ikke tas som et faktum, men hvis angriperen kjørte en "dårlig" kommando og glemte å fjerne historien, vil den være der.
Kontrollere nettverkstrafikk for å vite om systemet er hacket
Hvis en hacker krenket sikkerheten din, er det store sannsynligheter han forlot en bakdør, en måte å komme tilbake, et skript som leverer spesifisert informasjon som spam eller gruvedrift bitcoins, på et tidspunkt hvis han holdt noe i systemet ditt som kommuniserte eller sendte informasjon du må være i stand til å legge merke til det ved å overvåke trafikken din på jakt etter uvanlig aktivitet.
For å begynne med kan vi kjøre kommandoen Iftop som ikke kommer på Debian Standard Installation som standard. På sin offisielle nettsted beskrives IFTOP som "Toppkommandoen for bruk av båndbredde".
For å installere det på Debian og baserte Linux -distribusjoner kjører:
# Apt Install Iftop
Når den er installert, kjør den med sudo:
# sudo iftop -i
Den første kolonnen viser localhost, i dette tilfellet Montsegur, => og <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.
Når du bruker IFTOP, lukker alle programmene som bruker trafikk som nettlesere, budbringere, for å forkaste så mange godkjente tilkoblinger som mulig for å analysere hva som gjenstår, er det ikke vanskelig å identifisere rare trafikk.
Kommandoen NetStat er også et av hovedalternativene når du overvåker nettverkstrafikken. Følgende kommando vil vise lytting (l) og aktive (a) porter.
# netstat -la
Du kan finne mer informasjon om NetStat om hvordan du kan se etter åpne porter på Linux.
Kontrollere prosesser for å vite om systemet er hacket
I hvert operativsystem når noe ser ut til å gå galt, er en av de første tingene vi ser etter prosessene for å prøve å identifisere en ukjent eller noe mistenkelig.
# topp
I motsetning til klassiske virus, kan det hende at en moderne hack -teknikk ikke produserer store pakker hvis hackeren vil unngå oppmerksomhet. Sjekk kommandoene nøye og bruk kommandoen lsof -p for mistenkelige prosesser. Kommandoen LSOF gjør det mulig å se hvilke filer som åpnes og tilhørende prosesser.
# lsof -p
Prosessen over 10119 tilhører en bash -økt.
Selvfølgelig for å sjekke prosesser der er kommandoen PS også.
# ps -axu
PS -AXU -utgangen ovenfor viser brukeren i den første colum (roten), prosess -ID (PID), som er unik, CPU og minnebruk av hver prosess, virtuelt minne og fastsatt størrelse, terminal, prosesstilstand, dets starttid og kommandoen som startet det.
Hvis du identifiserer noe unormalt, kan du sjekke med LSOF med PID -nummeret.
Kontrollere systemet ditt for rootkits -infeksjoner:
Rootkits er blant de farligste truslene for enheter hvis ikke de verre, når en rootkit ble oppdaget, er det ingen annen løsning enn å installere systemet på nytt, noen ganger kan en rootkit til og med tvinge en maskinvarebytte. Heldigvis er det en enkel kommando som kan hjelpe oss med å oppdage de mest kjente rootkits, kommandoen chkrootkit (sjekk rootkits).
For å installere Chkrootkit på Debian og baserte Linux -distribusjoner kjører:
# Apt installer chkrootkit
Når den er installert, kjøres du bare:
# sudo chkrootkit
Som du ser ble det ikke funnet noen rootkits på systemet.
Jeg håper du fant denne opplæringen om hvordan du kan oppdage om Linux -systemet ditt er blitt hacket ”nyttig.