So erkennen Sie, ob Ihr Linux -System gehackt wurde

So erkennen Sie, ob Ihr Linux -System gehackt wurde
Wenn ein Verdacht besteht, dass ein System gehackt wurde. Sie können jedoch einige Verfahren befolgen, um zu erkennen, ob Ihr System wirklich gehackt wurde oder nicht.

Installieren Sie ein Intrusion Detection System (IDS), um zu wissen, ob das System gehackt wurde

Das erste, was nach dem Verdacht eines Hacker -Angriffs zu tun ist, besteht darin, ein IDS (Intrusion Detection System) einzurichten, um Anomalien im Netzwerkverkehr zu erkennen. Nachdem ein Angriff stattgefunden hat, kann das kompromittierte Gerät ein automatisierter Zombie beim Hacker -Service werden. Wenn der Hacker automatische Aufgaben im Gerät des Opfers definiert hat, erzeugen diese Aufgaben wahrscheinlich einen anomalen Verkehr, der durch Intrusionserkennungssysteme wie OSSEC oder SNORT erfasst werden kann, die jeweils ein spezielles Tutorial verdienen. am beliebtesten:

  • Konfigurieren Sie Snort -IDs und erstellen Sie Regeln
  • Erste Schritte mit OSSEC (Intrusion Detection System)
  • Schnupfenbenachrichtigungen
  • Installieren und Verwenden von Snort Intrusion Detection System zum Schutz von Servern und Netzwerken

Darüber hinaus müssen Sie im IDS -Setup und zur ordnungsgemäßen Konfiguration zusätzliche Aufgaben ausführen, die unten aufgeführt sind.

Überwachen Sie die Aktivität der Benutzer, um zu wissen, ob das System gehackt wurde

Wenn Sie vermuten, dass Sie gehackt wurden, besteht der erste Schritt darin, sicherzustellen, dass der Eindringling nicht in Ihr System angemeldet ist. Sie können ihn mit Befehlen erreichen. “w" oder "WHODie erste enthält zusätzliche Informationen:

# W

Notiz: Befehle „W“ und „Who“ zeigen möglicherweise nicht, dass Benutzer von Pseudo -Terminals wie XFCE Terminal oder Mate Terminal angemeldet sind.

Die erste Spalte zeigt die Nutzername, In diesem Fall werden LinuxHint und Linuxlat protokolliert, die zweite Spalte Tty zeigt das Terminal, die Spalte AUS Zeigt die Benutzeradresse an, in diesem Fall gibt es keine Remote -Benutzer, aber wenn dies wäre, können Sie dort IP -Adressen sehen. Der ANMELDUNG@ Die Spalte zeigt die Anmeldezeit, die Spalte, die Spalte JCPU Fasst das im Terminal oder TTY ausgeführte Prozess voraus. Die PCPU Zeigt die CPU an, die durch den in der letzten Spalte aufgeführten Prozess verbraucht wird WAS. CPU -Informationen sind geschätzt und nicht genau.

Während w entspricht der Ausführung Betriebszeit, WHO Und PS -a Zusammen ein weiterer Alternative, aber weniger informativ ist der Befehl “WHO”:

# WHO

Andere Möglichkeiten zur Überwachung der Aktivitäten der Benutzer sind über den Befehl "Last", mit dem die Datei gelesen werden kann WTMP Dies enthält Informationen zum Anmeldungszugriff, zur Anmeldungsquelle, zur Anmeldestation, mit Funktionen zur Verbesserung bestimmter Anmeldeereignisse, um es zu versuchen:

# zuletzt

Die Ausgabe zeigt den Benutzernamen, das Terminal, die Quelladresse, die Anmeldezeit und die Gesamtzeitdauer der Sitzung.

Wenn Sie durch einen bestimmten Benutzer über böswillige Aktivitäten nachdenken, können Sie den Bash -Historie überprüfen. Melden Sie sich als Benutzer an, den Sie untersuchen und den Befehl ausführen möchten Geschichte Wie im folgenden Beispiel:

# Su
# Geschichte

Oben können Sie den Befehlsverlauf sehen, diese Befehle funktionieren, indem Sie die Datei lesen ~/.bash_history befindet sich in den Benutzern nach Hause:

# weniger /home //.bash_history

Sie sehen in dieser Datei dieselbe Ausgabe als bei der Verwendung des Befehls “Geschichte”.

Natürlich kann diese Datei leicht entfernt oder ihr Inhalt gefälscht werden. Die von dieser bereitgestellten Informationen dürfen nicht als Tatsache angesehen werden, aber wenn der Angreifer einen „schlechten“ Befehl gab und vergessen hat, die Geschichte zu entfernen, wird sie dort sein.

Überprüfen Sie den Netzwerkverkehr, um zu wissen, ob das System gehackt wurde

Wenn ein Hacker gegen Ihre Sicherheit verstoßen, gibt es große Wahrscheinlichkeit In der Lage, dies zu bemerken, indem Sie Ihren Verkehr überwachen, der nach ungewöhnlichen Aktivitäten sucht.

Lassen Sie uns zunächst den Befehl IFTOP ausführen, der standardmäßig nicht auf der Debian -Standardinstallation kommt. Auf seiner offiziellen Website wird IFTOP als "Top -Befehl für die Bandbreitennutzung" bezeichnet.

So installieren Sie es auf Debian und basiertem Linux -Distributionsausgang:

# APT IFTOP installieren

Sobald installiert wurde, führen Sie es mit mit sudo:

# sudo iftop -i

Die erste Spalte zeigt den Localhost, in diesem Fall Montsegur, => und <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Wenn Sie IFTOP verwenden, schließen Sie alle Programme mit Datenverkehr wie Webbrowsern und Messenger, um so viele zugelassene Verbindungen wie möglich zu verwerfen, um das zu analysieren, was übrig ist.

Der Befehl Netstat ist auch eine der Hauptoptionen bei der Überwachung des Netzwerkverkehrs. Der folgende Befehl zeigt das Zuhören (l) und aktive (a) Ports an.

# netstat -la

Weitere Informationen zu NetStat finden Sie unter den offenen Anschlüssen unter Linux.

Überprüfen Sie Prozesse, um zu wissen, ob das System gehackt wurde

In jedem Betriebssystem, wenn etwas schief geht.

# Spitze

Im Gegensatz zu klassischen Viren produziert eine moderne Hack -Technik möglicherweise keine großen Pakete, wenn der Hacker Aufmerksamkeit vermeiden möchte. Überprüfen Sie die Befehle sorgfältig und verwenden Sie den Befehl lsof -p für verdächtige Prozesse. Der Befehl LSOF ermöglicht es zu sehen, welche Dateien geöffnet werden und welche zugehörigen Prozesse die zugehörigen Prozesse haben.

# lsof -p

Der Vorgang über 10119 gehört zu einer Bash -Sitzung.

Natürlich gibt es den Befehl, Prozesse zu überprüfen ps zu.

# PS -AXU

Die obige PS -AXU -Ausgabe zeigt den Benutzer im ersten Colum (root), die Prozess -ID (PID), die eindeutig ist, die CPU und die Speicherverwendung nach jedem Prozess, virtueller Speicher und ansässiger Satzgröße, Terminal, der Prozesszustand, seine Startzeit und Der Befehl, der damit begann.

Wenn Sie etwas Abnormales identifizieren, können Sie sich mit der PID -Nummer mit LSOF erkundigen.

Überprüfen Sie Ihr System für Rootkits -Infektionen:

Rootkits gehören zu den gefährlichsten Bedrohungen für Geräte, wenn nicht umso schlimmer, sobald ein Rootkit erkannt wurde, dass es keine andere Lösung gibt, als das System neu zu installieren. Zum Glück gibt es einen einfachen Befehl, der uns helfen kann, die bekanntesten Rootkits zu erkennen, den Befehl chkrootkit (Rootkits überprüfen).

So installieren Sie Chkrootkit in Debian und basierten Linux -Distributionen:

# APT CHKrootkit installieren


Einmal installiert einfach ausführen:

# sudo chkrootkit


Wie Sie sehen, wurden auf dem System keine Rootkits gefunden.

Ich hoffe, Sie haben dieses Tutorial gefunden, wie Sie erkennen können, ob Ihr Linux -System gehackt wurde.