Гайд Как проверить/обнаружить, что сервер/система Linux взломана/взломан

[rita7kst]

Взяла на вооружение) Спасибо! Хорошая шпаргалка

 

[krillw]

Любое странное поведение системы может указывать на возможный взлом. Дальше надо смотреть логи и мониторинг на поиск странного

 

[arnis123]

большое спасибо за способ

 

[Pashtetsav]

отличный гайд всё как надо

 

[traineqq]

Посмотреть вложение 3865

Чек-лист для проверки Linux сервера​

Проверьте текущих залогиненных пользователей



Проверка последних успешных/неудачных попыток входа в систему



Проверьте записи входа для всех пользователей (Записи входа для устройства начинаются с момента установки)



Проверьте файлы логов, посмотрите, не затерты ли они и т.д.


или


Проверьте наличие нового имени пользователя и т.д.


или

или


Проверка модификации имени пользователя/пароля



Проверка сетевого трафика, используемые инструменты



Проверьте журнал безопасности на предмет вторжения



Проверка времени подключения пользователя



Проверка/поиск необычного процесса


или


Найдем PID (например, 1075) этого процесса, используя следующую команду для поиска

исполняемого файла



Предположим, что на выводе /usr/bin/malicious


или

Восстановление удаленных файлов​

Обычно его можно найти в каталоге /proc, /proc отображается в оперативной памяти, поэтому эти файлы не существуют на жестких дисках, /proc/PID (например, /proc/1075) содержит информацию о памяти процесса, дескрипторе файла, ссылке на жесткий диск и т.д.

lsof использует эту и другую информацию из ядра для вывода подробностей.

Например, мы хотим восстановить /var/log/test, который уже удален с жесткого диска


или


Используйev lsof, чтобы проверить, есть ли процессы, использующие/открывшие /var/log/test


Вывод



Мы можем использовать следующую команду для подтверждения/просмотра содержимого файла


Вывод содержимого файла
.......

Чтобы восстановить файл



Проверьте, восстановлен ли файл

Примечание: Этот метод восстановления также может быть использован для восстановления других типов файлов в экстренных случаях

бро, спасибо большое, очень помог

 

[hiflex925]

забрал чек-лист на вооружение. спасибо

 

[duhdbd]

Спасибо большое, очень помогло

 

[themrlion]

Есть ли возможность автоматизировать мониторинг?