Гайд Как проверить/обнаружить, что сервер/система Linux взломана/взломан

[wlux.net]

Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей

(/var/run/utmp)

who

Проверка последних успешных/неудачных попыток входа в систему

(/var/log/lastlog)

lastlog

Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)

(/var/log/wtmp)

last

Проверьте файлы логов, посмотрите, не затерты ли они и т.д.

ls -ahlp /var/log/*

или

ll -h /var/log/*

Проверьте наличие нового имени пользователя и т.д.

ls -ahlp /etc/pass*

или

ll /etc/pass*
ls -ahlp /etc/sha*

или

ll /etc/sha*

Проверка модификации имени пользователя/пароля

more /etc/passwd
more /etc/shadow

Проверка сетевого трафика, используемые инструменты

tcpdump
iftop
nethogs

Проверьте журнал безопасности на предмет вторжения

(/var/log/secure)

more /var/log/secure
sudo cat /var/log/secure | grep -i "accepted password"

Проверка времени подключения пользователя

(/var/log/wtmp)

ac -dp

Проверка/поиск необычного процесса

top

или

htop

Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла

ls -ahl

Предположим, что на выводе /usr/bin/malicious

ls -ahlp /usr/bin/malicious

или

ll

Восстановление удаленных файлов​

Примечание: Пока файл все еще используется процессом, даже если он удален, его можно восстановить, только это скрыто от других программ.

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска

ls -ahlp /var/log/test

или

ll /var/log/test
No such file or directory

Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test

lsof | grep /var/log/test

Вывод

rsyslogd 1920 root 2a REG 9,4 1948213 148280 /var/log/test (deleted)

Примечание: 1920 – это PID процесса rsyslogd, который использует/открывает файл, файловый дескриптор открытого файла – 2 (2a).

Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла

tail /proc/1920/fd/2

Вывод содержимого файла
.......

Чтобы восстановить файл

cat /proc/1920/fd/2 > /var/log/test-recovered

Проверьте, восстановлен ли файл

ls -ahlp /var/log/test-

Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

 

[com98]

Впринципе проверять можно и по хешу файла, но данный способ вполне рабочий!

 

[mad]

самое страшное прописать одну из команд и увидеть положительный ответ

 

[вапаваа]

Спасибо за информацию очень полезная инфа

 

[tamitami78]

Согласен с первым комментарием, но инфа действительно интересна и полезна

 

[Kakaxa229]

Будет ли это работать во всех случаях? В плане нельзя ли "подчистить" следы взлома?

 

[fert4r]

Спасибо за информацию, мне помогло

 

[rustam01o2]

Каждый раз прохожусь по этому чек листу, спасибо

 

[bebubyaka]

Я бы ещё используя netstat, ss или lsof, проверил порты и установленные соединения, проверил целостность при помощи rpm -Va (для систем на базе RPM) или debsums (для систем на базе Debian), проверил cron. Спасибо за гайд.

 

[sokrat13007]

Способ работающий, спс автор

 

[faf]

Посмотреть вложение 3865

Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей



Проверка последних успешных/неудачных попыток входа в систему



Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)



Проверьте файлы логов, посмотрите, не затерты ли они и т.д.


или


Проверьте наличие нового имени пользователя и т.д.


или

или


Проверка модификации имени пользователя/пароля



Проверка сетевого трафика, используемые инструменты



Проверьте журнал безопасности на предмет вторжения



Проверка времени подключения пользователя



Проверка/поиск необычного процесса


или


Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла



Предположим, что на выводе /usr/bin/malicious


или

Восстановление удаленных файлов​

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска


или


Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test


Вывод



Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла


Вывод содержимого файла
.......

Чтобы восстановить файл



Проверьте, восстановлен ли файл



Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

Спасибо за информацию очень полезная инфа

 

[rapidrabbit]

Спасибо за инфу, но лучше просто заходить по приватному ключи и не париться)

 

[abobabebra]

Спасибо за помощь , помог!

 

[Sugy]

Спасибо за способ, очень благодарен

 

[ssiisu]

Спасибо большое за способ

 

[aboba678]

Спасибо за за помощь! Способ рабочий

 

[igorekmaslov200]

Посмотреть вложение 3865

Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей



Проверка последних успешных/неудачных попыток входа в систему



Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)



Проверьте файлы логов, посмотрите, не затерты ли они и т.д.


или


Проверьте наличие нового имени пользователя и т.д.


или

или


Проверка модификации имени пользователя/пароля



Проверка сетевого трафика, используемые инструменты



Проверьте журнал безопасности на предмет вторжения



Проверка времени подключения пользователя



Проверка/поиск необычного процесса


или


Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла



Предположим, что на выводе /usr/bin/malicious


или

Восстановление удаленных файлов​

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска


или


Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test


Вывод



Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла


Вывод содержимого файла
.......

Чтобы восстановить файл



Проверьте, восстановлен ли файл



Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

Спасибо большое, очень помогло

 

[No_Freaze]

Неплохая шпаргалка, буду юзать, спасибо

 

[jackanapes]

неплохая шпаргалка, спасибо, пригодится

 

[zye]

Посмотреть вложение 3865

Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей



Проверка последних успешных/неудачных попыток входа в систему



Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)



Проверьте файлы логов, посмотрите, не затерты ли они и т.д.


или


Проверьте наличие нового имени пользователя и т.д.


или

или


Проверка модификации имени пользователя/пароля



Проверка сетевого трафика, используемые инструменты



Проверьте журнал безопасности на предмет вторжения



Проверка времени подключения пользователя



Проверка/поиск необычного процесса


или


Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла



Предположим, что на выводе /usr/bin/malicious


или

Восстановление удаленных файлов​

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска


или


Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test


Вывод



Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла


Вывод содержимого файла
.......

Чтобы восстановить файл



Проверьте, восстановлен ли файл



Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

Все доступно и понятно описано)