🐧 Как проверить/обнаружить, что сервер/система Linux взломана/взломан |

🐧 Как проверить/обнаружить, что сервер/система Linux взломана/взломан

Мануал

Чек-лист для проверки Linux сервера

Проверьте текущих залогиненных пользователей
(/var/run/utmp)

who

Проверка последних успешных/неудачных попыток входа в систему
(/var/log/lastlog)

lastlog

Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)
(/var/log/wtmp)

last

Проверьте файлы логов, посмотрите, не затерты ли они и т.д.

ls -ahlp /var/log/*
или
ll -h /var/log/*

Проверьте наличие нового имени пользователя и т.д.

ls -ahlp /etc/pass*
или
ll /etc/pass*
ls -ahlp /etc/sha*
или
ll /etc/sha*

Проверка модификации имени пользователя/пароля

more /etc/passwd
more /etc/shadow

Проверка сетевого трафика, используемые инструменты

tcpdump
iftop
nethogs

Проверьте журнал безопасности на предмет вторжения
(/var/log/secure)

more /var/log/secure
sudo cat /var/log/secure | grep -i "accepted password"

Проверка времени подключения пользователя
(/var/log/wtmp)

ac -dp

Проверка/поиск необычного процесса

top
или
htop

Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла

ls -ahlp /proc/1705/ | grep -i exe
или
ll /proc/1705/ | grep -i exe

Предположим, что на выводе /usr/bin/malicious

ls -ahlp /usr/bin/malicious
или
ll /usr/bin/malicious

Восстановление удаленных файлов

Примечание: Пока файл все еще используется процессом, даже если он удален, его можно восстановить, только это скрыто от других программ.

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска

ls -ahlp /var/log/test
или
ll /var/log/test
No such file or directory

Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test

lsof | grep /var/log/test
Вывод
rsyslogd   1920      root    2a      REG                9,4  1948213     148280 /var/log/test (deleted)

Примечание: 1920 – это PID процесса rsyslogd, который использует/открывает файл, файловый дескриптор открытого файла – 2 (2a).

Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла

tail /proc/1920/fd/2
Вывод содержимого файла
.......

Чтобы восстановить файл

cat /proc/1920/fd/2 > /var/log/test-recovered

Проверьте, восстановлен ли файл

ls -ahlp /var/log/test-recovered
или
ll /var/log/test-recovered

Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

см. также:

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий