• Добро пожаловать на сайт - wlux.net!

    FAQ по форуму

    1. Все сообщения до группы местный проходят модерацию от 1 минуты до 24 часа

    2. Сообщения учитываються в следующих разделах: Читать

    3.Что-бы скачать вложение нужно 2 сообщения.

    4.Личные переписки работают только с Администрацией форума

    5. Запрещено: Просить скрытый текст , спам, реклама, скам, ддос, кардинг и другая чернуха, нарушать любые законы РФ/СНГ = бан аккаунта

    6. Внимание! Мы не удаляем аккаунты с форума! Будьте внимательны ДО регистрации! Как удалить аккаунт на форуме?!

    5.Не понимаю, как и что тут работает у вас?!Как создавать темы, писать сообщения, как получать реакции. Почему не засчитывает сообщения. Все ответы здесь

     
This is a mobile optimized page that loads fast, if you want to load the real page, click this text.

Гайд Как проверить/обнаружить, что сервер/система Linux взломана/взломан

5,00 звёзд
1 Рейтинг
Оффлайн

wlux.net

Где волчьи уши, там волчьи зубы.
Команда форума
  •
LV
7
 
20.06.2022
23 849
218
36
Награды
10
Пол
Муж.

Репутация:

  • Автор темы
  • Администратор
  • Модератор
  • Команда форума
  • #1


Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей

(/var/run/utmp)

who
Нажмите, чтобы раскрыть...

Проверка последних успешных/неудачных попыток входа в систему

(/var/log/lastlog)

lastlog
Нажмите, чтобы раскрыть...

Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)

(/var/log/wtmp)

last
Нажмите, чтобы раскрыть...

Проверьте файлы логов, посмотрите, не затерты ли они и т.д.

ls -ahlp /var/log/*
Нажмите, чтобы раскрыть...
или
ll -h /var/log/*
Нажмите, чтобы раскрыть...

Проверьте наличие нового имени пользователя и т.д.

ls -ahlp /etc/pass*
Нажмите, чтобы раскрыть...
или
ll /etc/pass*
ls -ahlp /etc/sha*
Нажмите, чтобы раскрыть...
или
ll /etc/sha*
Нажмите, чтобы раскрыть...

Проверка модификации имени пользователя/пароля

more /etc/passwd
more /etc/shadow
Нажмите, чтобы раскрыть...

Проверка сетевого трафика, используемые инструменты

tcpdump
iftop
nethogs
Нажмите, чтобы раскрыть...

Проверьте журнал безопасности на предмет вторжения

(/var/log/secure)

more /var/log/secure
sudo cat /var/log/secure | grep -i "accepted password"
Нажмите, чтобы раскрыть...

Проверка времени подключения пользователя

(/var/log/wtmp)

ac -dp
Нажмите, чтобы раскрыть...

Проверка/поиск необычного процесса

top
Нажмите, чтобы раскрыть...
или
htop
Нажмите, чтобы раскрыть...

Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла

ls -ahl
Нажмите, чтобы раскрыть...

Предположим, что на выводе /usr/bin/malicious

ls -ahlp /usr/bin/malicious
Нажмите, чтобы раскрыть...
или
ll
Нажмите, чтобы раскрыть...

Восстановление удаленных файлов​

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска

ls -ahlp /var/log/test
Нажмите, чтобы раскрыть...
или
ll /var/log/test
No such file or directory
Нажмите, чтобы раскрыть...

Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test

lsof | grep /var/log/test
Нажмите, чтобы раскрыть...
Вывод
rsyslogd 1920 root 2a REG 9,4 1948213 148280 /var/log/test (deleted)
Нажмите, чтобы раскрыть...

Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла

tail /proc/1920/fd/2
Нажмите, чтобы раскрыть...
Вывод содержимого файла
.......

Чтобы восстановить файл

cat /proc/1920/fd/2 > /var/log/test-recovered
Нажмите, чтобы раскрыть...

Проверьте, восстановлен ли файл

ls -ahlp /var/log/test-
Нажмите, чтобы раскрыть...

Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях
 

Последние темы в этом разделе:

C Оффлайн

com98

Участник
  •
LV
3
 
26.01.2023
11
0
20
Награды
3
33

Репутация:

Впринципе проверять можно и по хешу файла, но данный способ вполне рабочий!
 
M Оффлайн

mad

Участник
  •
LV
0
 
15.05.2023
33
0
2
Награды
1
36
Пол
Муж.

Репутация:

самое страшное прописать одну из команд и увидеть положительный ответ
 
В Оффлайн

вапаваа

Участник
  •
LV
0
 
15.04.2023
0
0
25
Награды
1
24

Репутация:

Спасибо за информацию очень полезная инфа
 
T Оффлайн

tamitami78

Участник
  •
LV
2
 
03.01.2024
30
0
30
Награды
3
24

Репутация:

Согласен с первым комментарием, но инфа действительно интересна и полезна
 
K Оффлайн

Kakaxa229

Участник
  •
LV
2
 
12.06.2024
11
0
17
Награды
2
24

Репутация:

Будет ли это работать во всех случаях? В плане нельзя ли "подчистить" следы взлома?
 
Оффлайн

fert4r

Участник
  •
LV
2
 
28.02.2024
20
0
18
Награды
2
24

Репутация:

Спасибо за информацию, мне помогло
 
R Оффлайн

rustam01o2

Участник
LV
0
 
14.07.2024
7
0
6
20

Репутация:

Каждый раз прохожусь по этому чек листу, спасибо
 
B Оффлайн

bebubyaka

Участник
  •
LV
0
 
20.07.2024
2
0
6
Награды
1
21

Репутация:

Я бы ещё используя netstat, ss или lsof, проверил порты и установленные соединения, проверил целостность при помощи rpm -Va (для систем на базе RPM) или debsums (для систем на базе Debian), проверил cron. Спасибо за гайд.
 
S Оффлайн

sokrat13007

Участник
  •
LV
2
 
14.08.2024
32
0
12
Награды
3
28

Репутация:

Способ работающий, спс автор
 
F Оффлайн

faf

Участник
  •
LV
3
 
04.08.2023
2
0
17
Награды
3
28

Репутация:

Спасибо за информацию очень полезная инфа
 
R Оффлайн

rapidrabbit

Участник
  •
LV
4
 
26.08.2023
4
0
24
Награды
4
25

Репутация:

Спасибо за инфу, но лучше просто заходить по приватному ключи и не париться)
 
A Оффлайн

abobabebra

Местный
Участник
  •
LV
2
 
23.08.2024
45
0
20
Награды
3
20

Репутация:

Спасибо за помощь , помог!
 
S Оффлайн

Sugy

Участник
LV
0
 
11.09.2024
3
0
6
22

Репутация:

Спасибо за способ, очень благодарен
 
S Оффлайн

ssiisu

Участник
  •
LV
2
 
17.08.2024
32
0
15
Награды
3
23

Репутация:

Спасибо большое за способ
 
A Оффлайн

aboba678

Участник
  •
LV
0
 
11.09.2024
1
0
6
Награды
1
26

Репутация:

Спасибо за за помощь! Способ рабочий
 
I Оффлайн

igorekmaslov200

Участник
  •
LV
2
 
17.07.2024
4
0
16
Награды
2
22

Репутация:

Спасибо большое, очень помогло
 
N Оффлайн

No_Freaze

Участник
  •
LV
2
 
13.09.2024
27
0
15
Награды
3

Репутация:

Неплохая шпаргалка, буду юзать, спасибо
 
J Оффлайн

jackanapes

Участник
  •
LV
2
 
14.09.2024
1
0
6
Награды
1
29

Репутация:

неплохая шпаргалка, спасибо, пригодится
 
Z Оффлайн

zye

Участник
  •
LV
3
 
28.10.2023
25
0
25
Награды
4
21

Репутация:

Все доступно и понятно описано)
 
Для ответа нужно войти/зарегистрироваться

Поиск по форуму

Расширенный поиск...

Похожие темы:

Гайд Как запустить на своём пк chatgpt или использование LLM с помощью ollama.
2
Ответы
24
Просмотры
527
ghostuser1
G
Гайд Как сменить mac-адрес на Linux
Ответы
9
Просмотры
629
Loraks_1
L
Гайд Как узнать кто и когда входил в ваш дедик (выделенный сервер)
Ответы
18
Просмотры
1 тыс.
sunilia 
Гайд Как выполнить команду Linux без сохранения ее в истории
  • 5,00 звёзд 1 Рейтинг
2
Ответы
20
Просмотры
790
kuzdAK
Гайд Как ограничить доступ пользователей сервера к определенному каталогу в Linux
Ответы
19
Просмотры
993
sergeyisp
S
Гайд Как получить информацию о том, сколько места на диске занимает ваш Linux
  • 5,00 звёзд 1 Рейтинг
2
Ответы
21
Просмотры
932
No_Freaze
N
Гайд Как часто вам приходится перезагружать свой Linux-сервер?
2
Ответы
33
Просмотры
1 тыс.
vasyx3m
V
Меню
Вход
Регистрация
Данный сайт использует cookie. Вы должны принять их для продолжения использования. Узнать больше....