Hvordan oppdage hvis Linux -systemet ditt er blitt hacket

Oskar Fossum
Hvordan oppdage hvis Linux -systemet ditt er blitt hacket
Når det er mistanke, ble et system hacket den eneste sikre løsningen er å installere alt fra begynnelsen, spesielt hvis målet var en server eller en enhet som inneholder informasjon som overskrider brukeren eller administratorens personvern. Likevel kan du følge noen prosedyrer for å prøve å innse om systemet ditt virkelig ble hacket eller ikke.

Installer et inntrengingsdeteksjonssystem (IDS) for å vite om systemet har blitt hacket

Første ting å gjøre etter mistanke om et hackerangrep er å sette opp en IDS (inntrengingsdeteksjonssystem) for å oppdage anomalier i nettverkstrafikken. Etter at et angrep har funnet sted, kan den kompromitterte enheten bli en automatisert zombie på Hacker -tjenesten. Hvis hackeren definerte automatiske oppgaver i offerets enhet, vil disse oppgavene sannsynligvis produsere anomal trafikk som kan oppdages ved inntrengingsdeteksjonssystemer som OSSEC eller Snort som fortjener en dedikert opplæring hver, har vi følgende for deg å komme i gang med den mest populær:

  • Konfigurer snort ID -er og opprett regler
  • Komme i gang med OSSEC (inntrengingsdeteksjonssystem)
  • Snort varsler
  • Installere og bruke snort inntrengingsdeteksjonssystem for å beskytte servere og nettverk

I tillegg, til IDS -oppsettet og riktig konfigurasjon, må du utføre flere oppgaver som er listet opp nedenfor.

Overvåke brukernes aktivitet for å vite om systemet er blitt hacket

Hvis du mistenker at du ble hacket det første trinnet er å sørge for at inntrengeren ikke er logget inn i systemet ditt, kan du oppnå det ved hjelp av kommandoer "w”Eller“WHO”, Den første inneholder tilleggsinformasjon:

# w

Merk: Kommandoer “W” og “WHO” viser kanskje ikke brukere som er logget fra pseudoterminaler som XFCE Terminal eller Mate Terminal.

Den første kolonnen viser Brukernavn, I dette tilfellet er Linuxhint og Linuxlat logget, den andre kolonnen Tty viser terminalen, kolonnen FRA viser brukeradressen, i dette tilfellet er det ikke eksterne brukere, men hvis de var, kan du se IP -adresser der. De LOGG INN@ kolonnen viser påloggingstiden, kolonnen JCPU oppsummerer protokollen med prosess utført i terminalen eller TTY. de PCPU viser CPU -forbruket av prosessen som er oppført i den siste kolonnen HVA. CPU -informasjon er estimativ og ikke nøyaktig.

Samtidig som w tilsvarer å utføre oppetid, WHO og ps -a Sammen et annet alternativ, men mindre informativt er kommandoen "WHO”:

# WHO

En annen måte å føre tilsyn med brukernes aktivitet er gjennom kommandoen "sist" som gjør det mulig å lese filen WTMP som inneholder informasjon om innloggingsadgang, påloggingskilde, påloggingstid, med funksjoner for å forbedre spesifikke påloggingshendelser, for å prøve den kjører:

# siste

Utgangen viser brukernavn, terminal, kildeadresse, påloggingstid og økt total tidsvarighet.

Hvis du mistenker om ondsinnet aktivitet av en bestemt bruker, kan du sjekke bashistorikken, logge inn som brukeren du vil undersøke og kjøre kommandoen historie Som i følgende eksempel:

# su
# historie

Over kan du se kommandohistorikken, denne kommandoen fungerer ved å lese filen ~/.bash_history Ligger i brukernes hjem:

# mindre /hjem //.bash_history

Du vil se i denne filen den samme utgangen enn når du bruker kommandoen “historie”.

Selvfølgelig kan denne filen enkelt fjernes eller innholdet er smidd, informasjonen som er gitt av den, må ikke tas som et faktum, men hvis angriperen kjørte en "dårlig" kommando og glemte å fjerne historien, vil den være der.

Kontrollere nettverkstrafikk for å vite om systemet er hacket

Hvis en hacker krenket sikkerheten din, er det store sannsynligheter han forlot en bakdør, en måte å komme tilbake, et skript som leverer spesifisert informasjon som spam eller gruvedrift bitcoins, på et tidspunkt hvis han holdt noe i systemet ditt som kommuniserte eller sendte informasjon du må være i stand til å legge merke til det ved å overvåke trafikken din på jakt etter uvanlig aktivitet.

For å begynne med kan vi kjøre kommandoen Iftop som ikke kommer på Debian Standard Installation som standard. På sin offisielle nettsted beskrives IFTOP som "Toppkommandoen for bruk av båndbredde".

For å installere det på Debian og baserte Linux -distribusjoner kjører:

# Apt Install Iftop

Når den er installert, kjør den med sudo:

# sudo iftop -i

Den første kolonnen viser localhost, i dette tilfellet Montsegur, => og <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Når du bruker IFTOP, lukker alle programmene som bruker trafikk som nettlesere, budbringere, for å forkaste så mange godkjente tilkoblinger som mulig for å analysere hva som gjenstår, er det ikke vanskelig å identifisere rare trafikk.

Kommandoen NetStat er også et av hovedalternativene når du overvåker nettverkstrafikken. Følgende kommando vil vise lytting (l) og aktive (a) porter.

# netstat -la

Du kan finne mer informasjon om NetStat om hvordan du kan se etter åpne porter på Linux.

Kontrollere prosesser for å vite om systemet er hacket

I hvert operativsystem når noe ser ut til å gå galt, er en av de første tingene vi ser etter prosessene for å prøve å identifisere en ukjent eller noe mistenkelig.

# topp

I motsetning til klassiske virus, kan det hende at en moderne hack -teknikk ikke produserer store pakker hvis hackeren vil unngå oppmerksomhet. Sjekk kommandoene nøye og bruk kommandoen lsof -p for mistenkelige prosesser. Kommandoen LSOF gjør det mulig å se hvilke filer som åpnes og tilhørende prosesser.

# lsof -p

Prosessen over 10119 tilhører en bash -økt.

Selvfølgelig for å sjekke prosesser der er kommandoen PS også.

# ps -axu

PS -AXU -utgangen ovenfor viser brukeren i den første colum (roten), prosess -ID (PID), som er unik, CPU og minnebruk av hver prosess, virtuelt minne og fastsatt størrelse, terminal, prosesstilstand, dets starttid og kommandoen som startet det.

Hvis du identifiserer noe unormalt, kan du sjekke med LSOF med PID -nummeret.

Kontrollere systemet ditt for rootkits -infeksjoner:

Rootkits er blant de farligste truslene for enheter hvis ikke de verre, når en rootkit ble oppdaget, er det ingen annen løsning enn å installere systemet på nytt, noen ganger kan en rootkit til og med tvinge en maskinvarebytte. Heldigvis er det en enkel kommando som kan hjelpe oss med å oppdage de mest kjente rootkits, kommandoen chkrootkit (sjekk rootkits).

For å installere Chkrootkit på Debian og baserte Linux -distribusjoner kjører:

# Apt installer chkrootkit


Når den er installert, kjøres du bare:

# sudo chkrootkit


Som du ser ble det ikke funnet noen rootkits på systemet.

Jeg håper du fant denne opplæringen om hvordan du kan oppdage om Linux -systemet ditt er blitt hacket ”nyttig.

Aws
Hva er undernett på AWS VPC og hvordan du bruker det?
AWS-undernett er undernettverkene i det isolerte nettverket (VPC) for å plassere AWS-ressurser atski...
Martin Berge
Kraftskall
Hvordan bruke Set-Variable Command i PowerShell
Cmdlet “Set-Variable” setter eller endrer verdien av en eksisterende variabel. Dessuten, hvis den nø...
Lars Solberg
Oracle Database
Hvordan cache Oracle Sequence for å forbedre dataordboksressursene?
Alternativene Cache, Noorder og Keep kan brukes til å cache Oracle Sequence for å forbedre datagboks...
Martin Berge
Python
Python Oserror
Daniel Johnsen
Python
Python -liste til komma -adskilt streng
Daniel Johnsen
Python
Seaborn horisontalt bar plot
Martin Berge
Python
Hvordan konverterer jeg et unntak til en streng i Python
Oskar Fossum
Python
Python finner indeksen for alle forekomster i en liste
Mathias Halvorsen
Docker
Hva er forskjellen mellom Docker og Podman?
Daniel Johnsen
Docker
Hva er docker bind monteringer?
Alexander Sørlie
Golang
Introduksjon til Golang -programmeringsspråk
Oskar Fossum
Golang
Hva er datatyper i Golang
Jørgen Christiansen
Oracle Database
Hvordan installere Oracle Instant Client i Linux?
Elias Krogh Svendsen