Безопасность

Как определить, была ли взломана ваша система Linux

Как определить, была ли взломана ваша система Linux
Когда есть подозрения, что система была взломана, единственное безопасное решение - установить все с самого начала, особенно если целью был сервер или устройство, содержащее информацию, превышающую личную конфиденциальность пользователя или администратора.  Тем не менее, вы можете выполнить некоторые процедуры, чтобы попытаться понять, действительно ли ваша система взломана или нет.

Установите систему обнаружения вторжений (IDS), чтобы узнать, взломана ли система

Первое, что нужно сделать после подозрения на хакерскую атаку, - это настроить IDS (систему обнаружения вторжений) для обнаружения аномалий в сетевом трафике. После атаки взломанное устройство может стать автоматическим зомби в хакерской службе. Если хакер определил автоматические задачи на устройстве жертвы, эти задачи, вероятно, будут производить аномальный трафик, который может быть обнаружен системами обнаружения вторжений, такими как OSSEC или Snort, каждая из которых заслуживает отдельного руководства, у нас есть следующее, чтобы вы могли начать работу с самый популярный:

Кроме того, для настройки и правильной настройки IDS вам потребуется выполнить дополнительные задачи, перечисленные ниже.

Отслеживайте активность пользователей, чтобы знать, была ли взломана система

Если вы подозреваете, что вас взломали, первым делом нужно убедиться, что злоумышленник не вошел в вашу систему, вы можете сделать это с помощью команд «ш" или же "кто”, Первый содержит дополнительную информацию:

# w

Примечание: команды «w» и «who» могут не отображать пользователей, вошедших в систему с псевдотерминалов, таких как терминал Xfce или терминал MATE.

Первый столбец показывает имя пользователя, в этом случае регистрируются linuxhint и linuxlat, второй столбец Телетайп показывает терминал, столбец ИЗ показывает адрес пользователя, в этом случае нет удаленных пользователей, но если бы они были, вы могли бы увидеть там IP-адреса.  В [электронная почта защищена] столбец показывает время входа в систему, столбец JCPU суммирует минуты процесса, выполненного в терминале или TTY. в PCPU показывает использование ЦП процессом, указанным в последнем столбце КАКИЕ. Информация о процессоре является приблизительной, а не точной.

Пока ш приравнивается к выполнению время безотказной работы, кто а также ps -a вместе другой альтернативой, но менее информативной, является команда «кто”:

# кто

Другой способ контролировать активность пользователей - использовать команду «последний», которая позволяет прочитать файл wtmp который содержит информацию о доступе для входа в систему, источнике входа, времени входа в систему, с функциями для улучшения определенных событий входа в систему, чтобы попробовать его запустить:

# последний

Вывод показывает имя пользователя, терминал, адрес источника, время входа в систему и общую продолжительность сеанса.

Если вы подозреваете о злонамеренной активности конкретного пользователя, вы можете проверить историю bash, войти в систему как пользователь, которого вы хотите исследовать, и запустить команду история как в следующем примере:

# вс
# история

Выше вы можете увидеть историю команд, эта команда работает путем чтения файла ~ /.bash_history находится в доме пользователя:

# less / home //.bash_history

Внутри этого файла вы увидите тот же результат, что и при использовании команды «история”.

Конечно, этот файл можно легко удалить или его содержимое подделать, предоставленную им информацию не следует воспринимать как факт, но если злоумышленник выполнил «плохую» команду и забыл удалить историю, она будет там.

Проверка сетевого трафика на предмет взлома системы

Если хакер нарушил вашу безопасность, есть большая вероятность, что он оставил бэкдор, способ вернуться, скрипт, доставляющий указанную информацию, такую ​​как спам или добыча биткойнов, на каком-то этапе, если он сохранил что-то в вашей системе, общаясь или отправляя любую информацию, которую вы должны возможность заметить это, отслеживая ваш трафик в поисках необычной активности.

Для начала давайте запустим команду iftop, которая по умолчанию не входит в стандартную установку Debian. На своем официальном сайте Iftop описывается как «лучшая команда по использованию полосы пропускания».

Чтобы установить его в Debian и других дистрибутивах Linux, запустите:

# apt install iftop

После установки запустите его с помощью судо:

# sudo iftop -i

Первый столбец показывает localhost, в данном случае montsegur, => и <= indicates if traffic  is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

При использовании iftop закройте все программы, использующие трафик, такие как веб-браузеры, мессенджеры, чтобы отбросить как можно больше утвержденных подключений и проанализировать то, что осталось, выявить странный трафик несложно.

Команда netstat также является одной из основных опций при мониторинге сетевого трафика. Следующая команда покажет прослушивающие (l) и активные (a) порты.

# netstat -la

Дополнительную информацию о netstat можно найти на сайте  Как проверить открытые порты в Linux.

Проверка процессов на предмет взлома системы

В каждой ОС, когда кажется, что что-то идет не так, мы в первую очередь обращаем внимание на процессы, пытающиеся идентифицировать неизвестное или что-то подозрительное.

# вершина

В отличие от классических вирусов, современные методы взлома могут не производить большие пакеты, если хакер хочет избежать внимания. Внимательно проверьте команды и используйте команду lsof -p на подозрительные процессы. Команда lsof позволяет увидеть, какие файлы открыты и связанные с ними процессы.

# lsof -p

Процесс выше 10119 принадлежит сеансу bash.

Конечно, для проверки процессов есть команда пс тоже.

# ps -axu

Приведенный выше вывод ps -axu показывает пользователя в первом столбце (корень), идентификатор процесса (PID), который является уникальным, использование ЦП и памяти каждым процессом, размер виртуальной памяти и резидентного набора, терминал, состояние процесса, время его начала и команда, которая запустила его.

Если вы обнаружите что-то ненормальное, вы можете проверить его с помощью lsof с номером PID.

Проверка вашей системы на заражение руткитами:

Руткиты являются одними из самых опасных угроз для устройств, если не хуже: после обнаружения руткита нет другого решения, кроме переустановки системы, иногда руткит может даже вызвать замену оборудования. К счастью, есть простая команда, которая может помочь нам обнаружить наиболее известные руткиты, это команда chkrootkit (проверить руткиты).

Чтобы установить Chkrootkit в Debian и других дистрибутивах Linux, выполните:

# apt install chkrootkit


После установки просто запустите:

# sudo chkrootkit


Как видите, руткитов в системе не обнаружено.

Я надеюсь, что вы нашли это руководство «Как определить, была ли взломана ваша система Linux» полезным.

Игры SuperTuxKart для Linux
SuperTuxKart для Linux
SuperTuxKart - отличная игра, созданная для того, чтобы бесплатно познакомить вас с Mario Kart в вашей системе Linux. Играть в нее довольно сложно и в...
Игры Учебник Battle for Wesnoth
Учебник Battle for Wesnoth
Битва за Веснот - одна из самых популярных стратегических игр с открытым исходным кодом, в которую вы можете играть сейчас. Эта игра не только очень д...
Игры 0 А.D. Руководство
0 А.D. Руководство
Из множества существующих стратегических игр 0 A.D. удается выделиться как всеобъемлющее название и очень глубокая тактическая игра, несмотря на то, ч...