Sikkerhet

Hvordan oppdage om Linux-systemet ditt har blitt hacket

Hvordan oppdage om Linux-systemet ditt har blitt hacket
Når det er mistanke om at et system ble hacket, er den eneste trygge løsningen å installere alt fra begynnelsen, spesielt hvis målet var en server eller en enhet som inneholder informasjon som overgår brukerens eller administratorens personvern.  Likevel kan du følge noen prosedyrer for å prøve å innse om systemet ditt virkelig var hacket eller ikke.

Installer A Intrusion Detection System (IDS) for å vite om systemet har blitt hacket

Den første tingen å gjøre etter mistanke om et hackerangrep er å sette opp et IDS (Intrusion Detection System) for å oppdage uregelmessigheter i nettverkstrafikken. Etter at et angrep har funnet sted, kan den kompromitterte enheten bli en automatisert zombie hos hackertjenesten. Hvis hackeren definerte automatiske oppgaver i offerets enhet, vil disse oppgavene sannsynligvis produsere avvikende trafikk som kan oppdages av inntrengingsdeteksjonssystemer som OSSEC eller Snort som fortjener en dedikert opplæring hver, vi har følgende for deg å komme i gang med mest populær:

I tillegg til IDS-oppsettet og riktig konfigurasjon må du utføre flere oppgaver som er oppført nedenfor.

Overvåke brukernes aktivitet for å vite om systemet har blitt hacket

Hvis du mistenker at du ble hacket, er det første trinnet å sørge for at inntrengeren ikke er logget inn i systemet ditt, kan du oppnå det ved hjelp av kommandoer “w”Eller“WHO”, Den første inneholder ytterligere informasjon:

# w

Merk: kommandoer “w” og “who” viser kanskje ikke brukere som er logget fra pseudo-terminaler som Xfce terminal eller MATE terminal.

Den første kolonnen viser brukernavn, i dette tilfellet logges linuxhint og linuxlat, den andre kolonnen TTY viser terminalen, kolonnen FRA viser brukeradressen, i dette tilfellet er det ikke eksterne brukere, men hvis de var det, kunne du se IP-adresser der.  De [e-postbeskyttet] kolonnen viser påloggingstid, kolonnen JCPU oppsummerer referat av prosessen som er utført i terminalen eller TTY. de PCPU viser CPU-en som forbrukes av prosessen som er oppført i den siste kolonnen HVA. CPU-informasjon er estimativ og ikke nøyaktig.

Samtidig som w tilsvarer å utføre oppetid, WHO og ps -a sammen er et annet alternativ, men mindre informativt, kommandoen “WHO”:

# WHO

En annen måte å overvåke brukernes aktivitet på er gjennom kommandoen "siste" som lar deg lese filen wtmp som inneholder informasjon om påloggingstilgang, påloggingskilde, påloggingstid, med funksjoner for å forbedre spesifikke påloggingshendelser, for å prøve å kjøre:

# siste

Utgangen viser brukernavnet, terminalen, kildeadressen, innloggingstiden og øktens totale varighet.

Hvis du mistenker skadelig aktivitet av en bestemt bruker, kan du sjekke bash-historikken, logge på som brukeren du vil undersøke og kjøre kommandoen historie som i følgende eksempel:

# su
# historie

Ovenfor kan du se kommandolinjen, denne kommandoen fungerer ved å lese filen ~ /.bash_history lokalisert i brukerens hjem:

# mindre / hjem //.bash_history

Du vil se i denne filen den samme utgangen enn når du bruker kommandoen “historie”.

Selvfølgelig kan denne filen enkelt fjernes eller innholdet smides, informasjonen som den får, må ikke tas som et faktum, men hvis angriperen kjørte en "dårlig" kommando og glemte å fjerne historikken, vil den være der.

Kontrollerer nettverkstrafikk for å vite om systemet har blitt hacket

Hvis en hacker brøt sikkerheten din, er det store sannsynligheter at han etterlot en bakdør, en måte å komme tilbake på, et skript som leverer spesifisert informasjon som spam eller gruvedrift av bitcoins, på et eller annet tidspunkt hvis han holdt noe i systemet ditt som kommuniserte eller sendte informasjon du må være kunne legge merke til det ved å overvåke trafikken på jakt etter uvanlig aktivitet.

Til å begynne med kan du kjøre kommandoen iftop som ikke kommer på Debian standardinstallasjon som standard. På den offisielle nettsiden blir Iftop beskrevet som "den øverste kommandoen for bruk av båndbredde".

Slik installerer du det på Debian og baserte Linux-distribusjoner:

# apt install iftop

Når den er installert, kjør den med sudo:

# sudo iftop -i

Den første kolonnen viser localhost, i dette tilfellet montsegur, => og <= indicates if traffic  is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Når du bruker iftop, lukk alle programmer som bruker trafikk som nettlesere, messengers, for å kaste så mange godkjente forbindelser som mulig for å analysere det som gjenstår, er det ikke vanskelig å identifisere merkelig trafikk.

Kommandoen netstat er også et av hovedalternativene når du overvåker nettverkstrafikk. Følgende kommando viser lytterport (l) og aktive (a) porter.

# netstat -la

Du finner mer informasjon på netstat på  Hvordan se etter åpne porter på Linux.

Kontrollerer prosesser for å vite om systemet har blitt hacket

I hvert operativsystem når noe ser ut til å gå galt, er en av de første tingene vi ser etter, prosessene for å prøve å identifisere en ukjent eller noe mistenkelig.

# topp

I motsetning til klassiske virus kan det hende at en moderne hackteknikk ikke produserer store pakker hvis hackeren vil unngå oppmerksomhet. Sjekk kommandoene nøye og bruk kommandoen lsof -p for mistenkelige prosesser. Kommandoen lsof lar deg se hvilke filer som åpnes og tilhørende prosesser.

# lsof -p

Prosessen over 10119 tilhører en bash-økt.

Selvfølgelig for å sjekke prosesser er det kommandoen ps også.

# ps -axu

PS -axu-utgangen ovenfor viser brukeren i den første kolonnen (roten), prosess-ID (PID), som er unik, prosessoren og minnebruk av hver prosess, virtuelt minne og bosatt settstørrelse, terminal, prosesstilstand, starttiden og kommandoen som startet den.

Hvis du identifiserer noe unormalt, kan du sjekke med lsof med PID-nummeret.

Sjekke systemet ditt for Rootkits-infeksjoner:

Rootkits er blant de farligste truslene for enheter, om ikke verre, når en rootkit ble oppdaget, er det ingen annen løsning enn å installere systemet på nytt, noen ganger kan et rootkit til og med tvinge en maskinvareutskifting. Heldigvis er det en enkel kommando som kan hjelpe oss med å oppdage de mest kjente rootkits, kommandoen chkrootkit (sjekk rootkits).

Slik installerer du Chkrootkit på Debian og baserte Linux-distribusjoner:

# apt install chkrootkit


Når du er installert, kjører du bare:

# sudo chkrootkit


Som du ser, ble det ikke funnet noen rootkits på systemet.

Jeg håper du fant denne veiledningen om hvordan du oppdager om Linux-systemet ditt har blitt hacket.

Spill Beste Linux Distros for spill i 2021
Beste Linux Distros for spill i 2021
Linux-operativsystemet har kommet langt fra det originale, enkle, serverbaserte utseendet. Dette operativsystemet har forbedret seg enormt de siste år...
Spill Hvordan fange opp og streame spilløkten din på Linux
Hvordan fange opp og streame spilløkten din på Linux
Tidligere ble spill bare ansett som en hobby, men med tiden så spillindustrien en enorm vekst når det gjelder teknologi og antall spillere. Spillpubli...
Spill Beste spill å spille med håndsporing
Beste spill å spille med håndsporing
Oculus Quest introduserte nylig den gode ideen om håndsporing uten kontrollere. Med et stadig økende antall spill og aktiviteter som utfører støtte en...