Чек-лист для проверки Linux сервера
Проверьте текущих залогиненных пользователей
(/var/run/utmp)
Проверка последних успешных/неудачных попыток входа в систему
(/var/log/lastlog)
Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)
(/var/log/wtmp)
Проверьте файлы логов, посмотрите, не затерты ли они и т.д.
Проверьте наличие нового имени пользователя и т.д.
Проверка модификации имени пользователя/пароля
Проверка сетевого трафика, используемые инструменты
tcpdump iftop nethogs
- 🐧 Получение информации о сетевых соединениях с помощью tcpdump на Linux
- 🖧 Как составить список всех MAC-адресов в сети с помощью tcpdump
- 🖧 Как захватить и проанализировать сетевой трафик с помощью tcpdump?
- 🖧 Как проверить использование сети в Linux?
- 16 полезных средств контроля пропускной способности для анализа использования сети в Linux
Проверьте журнал безопасности на предмет вторжения
(/var/log/secure)
Проверка времени подключения пользователя
(/var/log/wtmp)
Проверка/поиск необычного процесса
top или htop
Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска
исполняемого файла
Предположим, что на выводе /usr/bin/malicious
Восстановление удаленных файлов
Примечание: Пока файл все еще используется процессом, даже если он удален, его можно восстановить, только это скрыто от других программ.
Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.
lsof использует эту и другую информацию из ядра для вывода подробностей.
Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска
Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test
Примечание: 1920 – это PID процесса rsyslogd, который использует/открывает файл, файловый дескриптор открытого файла – 2 (2a).
Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла
Чтобы восстановить файл
Проверьте, восстановлен ли файл
Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях
см. также: