Phenquestions
Nainštalujte si systém detekcie útoku (IDS), aby ste zistili, či bol systém napadnutý
Prvá vec, ktorú musíte urobiť po podozrení z hackerského útoku, je nastavenie IDS (Intrusion Detection System) na zisťovanie anomálií v sieťovej prevádzke. Po uskutočnení útoku sa z napadnutého zariadenia môže stať automatizovaný zombie v hackerskej službe. Ak hacker definoval automatické úlohy v zariadení obete, je pravdepodobné, že tieto úlohy spôsobia anomálny prenos, ktorý je možné zistiť systémami na detekciu narušenia, ako sú OSSEC alebo Snort, ktoré si zasluhujú osobitný návod, a preto môžete začať s programom najpopulárnejší:
- Nakonfigurujte ID pre Snort a vytvorte pravidlá
- Začíname s OSSEC (Intrusion Detection System)
- Upozornenia na odfrknutie
- Inštalácia a používanie systému detekcie vniknutia na účely ochrany serverov a serverov Siete
Okrem nastavenia IDS a správnej konfigurácie budete musieť vykonať ďalšie úlohy uvedené nižšie.
Monitorujte činnosť používateľov, aby ste zistili, či bol systém napadnutý
Ak máte podozrenie, že vás niekto napadol, prvým krokom je ubezpečenie sa, že útočník nie je prihlásený do vášho systému, a to dosiahnete pomocou príkazov „w“Alebo„SZO”, Prvý obsahuje ďalšie informácie:
# w
Poznámka: príkazy „w“ a „who“ nemusia zobrazovať používateľom prihláseným z pseudo terminálov, ako je terminál Xfce alebo MATE terminál.
Prvý stĺpec zobrazuje používateľské meno, v tomto prípade sú prihlásené linuxhint a linuxlat, druhý stĺpec TTY ukazuje terminál, stĺpec ZO zobrazuje adresu používateľa, v tomto prípade nie sú vzdialení používatelia, ale ak by boli, mohli by ste tam vidieť adresy IP. The [chránené e-mailom] stĺpec zobrazuje čas prihlásenia, stĺpec JCPU sumarizuje minúty procesu vykonaného v termináli alebo TTY. the PCPU zobrazuje CPU spotrebovanú procesom uvedeným v poslednom stĺpci ČO. Informácie o CPU sú odhadované a nie presné.
Zatiaľ čo w rovná sa vykonanie uptime, SZO a ps -a spolu ďalšou alternatívou, ale menej informatívnou, je príkaz „SZO”:
# SZO
Ďalším spôsobom, ako dohliadať na činnosť používateľov, je príkaz „posledný“, ktorý umožňuje čítať súbor wtmp ktorý obsahuje informácie o prístupe k prihláseniu, zdroji prihlásenia, čase prihlásenia, s funkciami na vylepšenie konkrétnych udalostí prihlásenia, o vyskúšanie spustenia:
# posledný
Výstup zobrazuje používateľské meno, terminál, zdrojovú adresu, čas prihlásenia a celkové trvanie relácie.
Ak máte podozrenie na škodlivú aktivitu konkrétneho používateľa, môžete skontrolovať históriu bash, prihláste sa ako používateľ, ktorého chcete vyšetriť, a spustite príkaz história ako v nasledujúcom príklade:
# su# história
Vyššie môžete vidieť históriu príkazov. Tieto príkazy fungujú načítaním súboru ~ /.bash_history umiestnené v domovskej časti používateľov:
# menej / doma /
Vo vnútri tohto súboru uvidíte rovnaký výstup ako pri použití príkazu „história“.
Tento súbor je samozrejme možné ľahko odstrániť alebo sfalšovať jeho obsah. Informácie, ktoré poskytuje, sa nesmú brať ako skutočnosť, ale ak útočník spustil „zlý“ príkaz a zabudol odstrániť históriu, bude tam.
Prebieha kontrola sieťovej prevádzky a zistenie, či nedošlo k napadnutiu systému
Ak hacker porušil vašu bezpečnosť, existuje veľká pravdepodobnosť, že opustil zadné vrátka, spôsob, ako sa dostať späť, skript poskytujúci konkrétne informácie, ako je spam alebo ťažba bitcoinov, v určitom štádiu, keď vo vašom systéme niečo udržoval, komunikoval alebo odosielal akékoľvek informácie, musíte byť schopní si to všimnúť sledovaním vašej premávky a hľadaním neobvyklej aktivity.
Na začiatok spustíme príkaz iftop, ktorý sa štandardne nenachádza v štandardnej inštalácii Debianu. Na svojich oficiálnych webových stránkach je Iftop popisovaný ako „najvyšší príkaz na využitie šírky pásma“.
Ak ho chcete nainštalovať v systéme Debian a na spustených distribúciách Linuxu, postupujte takto:
# apt nainštalovať iftop
Po nainštalovaní ho spustite s sudo:
# sudo iftop -i
Prvý stĺpec zobrazuje localhost, v tomto prípade montsegur, => a <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.
Pri používaní programu iftop ukončite všetky programy využívajúce prenosy, ako sú napríklad webové prehľadávače, poslovia, aby ste mohli zahodiť čo najviac schválených pripojení, aby ste mohli analyzovať, čo zostáva, identifikácia podivného prenosu nie je ťažká.
Príkaz netstat je tiež jednou z hlavných možností pri sledovaní sieťovej prevádzky. Nasledujúci príkaz zobrazí porty na počúvanie (l) a aktívne (a).
# netstat -la
Viac informácií na netstat nájdete na Ako skontrolovať otvorené porty v systéme Linux.
Prebieha kontrola procesov s cieľom zistiť, či bol systém napadnutý
V každom OS, keď sa zdá, že sa niečo pokazí, jednou z prvých vecí, ktorú hľadáme, sú procesy, ktoré sa snažia identifikovať neznámy alebo niečo podozrivé.
# top
Na rozdiel od klasických vírusov nemusí moderná hackerská technika vytvárať veľké pakety, ak sa hacker chce vyhnúť pozornosti. Príkazy starostlivo skontrolujte a použite príkaz lsof -p za podozrivé procesy. Príkaz lsof umožňuje zistiť, ktoré súbory sa otvárajú a s nimi spojené procesy.
# lsof -p
Proces nad 10119 patrí do relácie bash.
Samozrejmosťou pre kontrolu procesov je príkaz ps tiež.
# ps -axu
Vyšší výstup ps -axu zobrazuje používateľa v prvom stĺpci (root), ID procesu (PID), ktorý je jedinečný, využitie procesora a pamäte každým procesom, veľkosť virtuálnej pamäte a rezidentnej sady, terminál, stav procesu, jeho začiatočný čas a príkaz, ktorý ho spustil.
Ak zistíte niečo neobvyklé, môžete to skontrolovať pomocou čísla PID.
Kontrola infekcie systému Rootkits:
Rootkity patria medzi najnebezpečnejšie hrozby pre zariadenia, ak nie horšie, akonáhle je rootkit detekovaný, neexistuje iné riešenie ako preinštalovanie systému, niekedy môže rootkit vynútiť aj výmenu hardvéru. Našťastie existuje jednoduchý príkaz, ktorý nám môže pomôcť odhaliť najznámejšie rootkity, príkaz chkrootkit (skontrolujte rootkity).
Ak chcete nainštalovať Chkrootkit na Debian a založené distribúcie Linuxu, spustite:
# apt nainštalujte chkrootkit
Po inštalácii jednoducho spustite:
Ako vidíte, v systéme sa nenašli žiadne rootkity.
Dúfam, že vám bol tento návod, ako zistiť, či bol váš systém Linux napadnutý, užitočný. “.
