Keselamatan

Cara Mengesan jika Sistem Linux Anda telah Diretas

Cara Mengesan jika Sistem Linux Anda telah Diretas
Apabila terdapat kecurigaan, sistem diretas satu-satunya penyelesaian yang selamat adalah memasang semuanya dari awal, terutama jika sasarannya adalah pelayan atau peranti yang mengandungi maklumat yang melebihi privasi peribadi pengguna atau pentadbir.  Namun anda mungkin mengikuti beberapa prosedur untuk cuba menyedari apakah sistem anda benar-benar digodam atau tidak.

Pasang Sistem Pengesanan Pencerobohan (IDS) untuk mengetahui sama ada sistem telah diretas

Perkara pertama yang perlu dilakukan setelah disyaki serangan penggodam adalah dengan menyiapkan IDS (Intrusion Detection System) untuk mengesan anomali dalam trafik rangkaian. Setelah serangan berlaku, peranti yang dikompromikan dapat menjadi zombie automatik di perkhidmatan penggodam. Sekiranya penggodam menentukan tugas automatik dalam peranti mangsa, tugas-tugas ini cenderung menghasilkan lalu lintas yang tidak normal yang dapat dikesan oleh Sistem Pengesanan Pencerobohan seperti OSSEC atau Snort yang masing-masing memerlukan tutorial khusus, kami mempunyai berikut untuk anda mulakan dengan paling popular:

Selain itu, untuk penyediaan IDS dan konfigurasi yang betul, anda perlu melaksanakan tugas tambahan yang disenaraikan di bawah.

Pantau aktiviti Pengguna untuk mengetahui apakah sistem telah diretas

Sekiranya anda mengesyaki anda diretas, langkah pertama adalah untuk memastikan penyusup tidak masuk ke sistem anda, anda boleh mencapainya dengan menggunakan perintah "w"Atau"who", Yang pertama mengandungi maklumat tambahan:

# w

Nota: perintah "w" dan "siapa" mungkin tidak menunjukkan pengguna yang log masuk dari terminal semu seperti terminal Xfce atau terminal MATE.

Lajur pertama menunjukkan nama pengguna, dalam kes ini linuxhint dan linuxlat dicatat, lajur kedua TTY menunjukkan terminal, lajur DARI menunjukkan alamat pengguna, dalam hal ini tidak ada pengguna jarak jauh tetapi jika mereka berada, anda dapat melihat alamat IP di sana.  The [dilindungi e-mel] lajur menunjukkan masa log masuk, lajur JCPU meringkaskan minit proses yang dijalankan di terminal atau TTY. yang PCPU menunjukkan CPU yang digunakan oleh proses yang disenaraikan di lajur terakhir APA. Maklumat CPU adalah anggaran dan tidak tepat.

Semasa w sama dengan pelaksanaan waktu rehat, who dan ps -a alternatif lain tetapi kurang bermaklumat adalah perintah "who":

# who

Cara lain untuk mengawasi aktiviti pengguna adalah melalui perintah "terakhir" yang memungkinkan untuk membaca fail wtmp yang mengandungi maklumat mengenai akses masuk, sumber masuk, masa masuk, dengan ciri-ciri untuk meningkatkan peristiwa masuk tertentu, untuk mencuba jalankan:

# terakhir

Keluaran menunjukkan nama pengguna, terminal, alamat sumber, masa log masuk dan tempoh keseluruhan masa sesi.

Sekiranya anda mengesyaki aktiviti jahat oleh pengguna tertentu, anda boleh menyemak sejarah bash, log masuk sebagai pengguna yang anda ingin siasat dan jalankan perintah sejarah seperti contoh berikut:

# su
# sejarah

Di atas anda dapat melihat sejarah perintah, perintah ini berfungsi dengan membaca fail ~ /.sejarah_bash terletak di rumah pengguna:

# kurang / rumah //.sejarah_bash

Anda akan melihat di dalam fail ini output yang sama daripada ketika menggunakan perintah “sejarah".

Sudah tentu fail ini dapat dihapus dengan mudah atau isinya dipalsukan, maklumat yang diberikan olehnya tidak boleh dianggap sebagai fakta, tetapi jika penyerang menjalankan perintah "buruk" dan lupa untuk membuang sejarah itu akan ada di sana.

Memeriksa lalu lintas rangkaian untuk mengetahui apakah sistem telah diretas

Sekiranya penggodam melanggar keselamatan anda, ada kemungkinan besar dia meninggalkan pintu belakang, cara untuk mendapatkan kembali, skrip yang menyampaikan maklumat tertentu seperti spam atau melombong bitcoin, pada tahap tertentu jika dia menyimpan sesuatu di sistem anda untuk menyampaikan atau menghantar maklumat yang anda mesti ada dapat memerhatikannya dengan memantau lalu lintas anda mencari aktiviti yang tidak biasa.

Untuk memulakan mari jalankan perintah iftop yang tidak masuk pada pemasangan standard Debian secara lalai. Di laman web rasminya, Iftop digambarkan sebagai "perintah utama untuk penggunaan jalur lebar".

Untuk memasangnya di Debian dan edaran Linux berdasarkan jalankan:

# apt pasang iftop

Setelah dipasang jalankan dengan sudo:

# sudo iftop -i

Lajur pertama menunjukkan localhost, dalam kes ini montsegur, => dan <= indicates if traffic  is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Semasa menggunakan iftop tutup semua program menggunakan lalu lintas seperti penyemak imbas web, utusan, untuk membuang sebanyak mungkin sambungan yang disetujui untuk menganalisis apa yang tersisa, mengenal pasti lalu lintas pelik tidak sukar.

Perintah netstat juga merupakan salah satu pilihan utama ketika memantau lalu lintas rangkaian. Perintah berikut akan menunjukkan port mendengar (l) dan aktif (a).

# netstat -la

Anda boleh mendapatkan lebih banyak maklumat mengenai netstat di  Cara memeriksa port terbuka di Linux.

Memeriksa proses untuk mengetahui sama ada sistem telah diretas

Dalam setiap OS apabila ada yang salah, salah satu perkara pertama yang kami cari adalah proses untuk mengenal pasti yang tidak diketahui atau sesuatu yang mencurigakan.

# atas

Berbeza dengan virus klasik, teknik peretasan moden mungkin tidak menghasilkan paket besar jika penggodam ingin mengelakkan perhatian. Periksa arahan dengan teliti dan gunakan perintah tersebut lsof -p untuk proses yang mencurigakan. Perintah lsof memungkinkan untuk melihat fail apa yang dibuka dan prosesnya yang berkaitan.

# lsof -p

Proses di atas 10119 termasuk dalam sesi bash.

Sudah tentu untuk memeriksa proses ada perintahnya ps juga.

# ps -axu

Output ps -axu di atas menunjukkan pengguna dalam kolum pertama (root), ID Proses (PID), yang unik, penggunaan CPU dan memori oleh setiap proses, memori maya dan ukuran set penduduk, terminal, keadaan proses, masa mula dan arahan yang memulakannya.

Sekiranya anda mengenal pasti sesuatu yang tidak normal, anda boleh menyemaknya dengan nombor PID.

Memeriksa sistem anda untuk jangkitan Rootkits:

Rootkit adalah antara ancaman yang paling berbahaya bagi peranti jika tidak lebih buruk, setelah rootkit dikesan tidak ada penyelesaian lain selain memasang semula sistem, kadang-kadang rootkit bahkan dapat memaksa penggantian perkakasan. Nasib baik ada arahan mudah yang dapat membantu kita mengesan rootkit yang paling terkenal, chkrootkit perintah (periksa rootkit).

Untuk memasang Chkrootkit pada Debian dan edaran Linux berdasarkan dijalankan:

# apt pasang chkrootkit


Setelah dipasang, jalankan:

# sudo chkrootkit


Seperti yang anda lihat, tidak ada rootkit yang terdapat di sistem.

Saya harap anda dapati tutorial ini mengenai Cara Mengesan Jika Sistem Linux Anda Telah Diretas ”berguna.

Permainan OpenTTD vs Simutrans
OpenTTD vs Simutrans
Membuat simulasi pengangkutan anda sendiri boleh menyeronokkan, santai dan sangat menarik. Itulah sebabnya anda perlu memastikan bahawa anda mencuba s...
Permainan Tutorial OpenTTD
Tutorial OpenTTD
OpenTTD adalah salah satu permainan simulasi perniagaan yang paling popular di luar sana. Dalam permainan ini, anda perlu membuat perniagaan pengangku...
Permainan SuperTuxKart untuk Linux
SuperTuxKart untuk Linux
SuperTuxKart adalah tajuk hebat yang direka untuk membawa anda pengalaman Mario Kart secara percuma pada sistem Linux anda. Ia cukup mencabar dan meny...