Гайд Как проверить/обнаружить, что сервер/система Linux взломана/взломан

[wlux.net]

Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей

(/var/run/utmp)

who

Проверка последних успешных/неудачных попыток входа в систему

(/var/log/lastlog)

lastlog

Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)

(/var/log/wtmp)

last

Проверьте файлы логов, посмотрите, не затерты ли они и т.д.

ls -ahlp /var/log/*

или

ll -h /var/log/*

Проверьте наличие нового имени пользователя и т.д.

ls -ahlp /etc/pass*

или

ll /etc/pass*
ls -ahlp /etc/sha*

или

ll /etc/sha*

Проверка модификации имени пользователя/пароля

more /etc/passwd
more /etc/shadow

Проверка сетевого трафика, используемые инструменты

tcpdump
iftop
nethogs

Проверьте журнал безопасности на предмет вторжения

(/var/log/secure)

more /var/log/secure
sudo cat /var/log/secure | grep -i "accepted password"

Проверка времени подключения пользователя

(/var/log/wtmp)

ac -dp

Проверка/поиск необычного процесса

top

или

htop

Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла

ls -ahl

Предположим, что на выводе /usr/bin/malicious

ls -ahlp /usr/bin/malicious

или

ll

Восстановление удаленных файлов​

Примечание: Пока файл все еще используется процессом, даже если он удален, его можно восстановить, только это скрыто от других программ.

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска

ls -ahlp /var/log/test

или

ll /var/log/test
No such file or directory

Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test

lsof | grep /var/log/test

Вывод

rsyslogd 1920 root 2a REG 9,4 1948213 148280 /var/log/test (deleted)

Примечание: 1920 – это PID процесса rsyslogd, который использует/открывает файл, файловый дескриптор открытого файла – 2 (2a).

Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла

tail /proc/1920/fd/2

Вывод содержимого файла
.......

Чтобы восстановить файл

cat /proc/1920/fd/2 > /var/log/test-recovered

Проверьте, восстановлен ли файл

ls -ahlp /var/log/test-

Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

 

[com98]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[mad]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[вапаваа]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[tamitami78]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[Kakaxa229]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[fert4r]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[rustam01o2]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[bebubyaka]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[sokrat13007]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[faf]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[rapidrabbit]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[abobabebra]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[Sugy]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[ssiisu]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[aboba678]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[igorekmaslov200]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[No_Freaze]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[jackanapes]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.

 

[zye]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

You must be logged in to see the message.