Como detectar se o seu sistema Linux foi invadido

Como detectar se o seu sistema Linux foi invadido
Quando há suspeita, um sistema foi invadido, a única solução segura é instalar tudo desde o início, especialmente se o alvo era um servidor ou um dispositivo contendo informações que excedem o usuário ou a privacidade pessoal do Admin. No entanto, você pode seguir alguns procedimentos para tentar perceber se seu sistema foi realmente hackeado ou não.

Instale um sistema de detecção de intrusão (IDs) para saber se o sistema foi invadido

A primeira coisa a fazer após a suspeita de um ataque de hackers é configurar um IDS (sistema de detecção de intrusões) para detectar anomalias no tráfego de rede. Depois que um ataque ocorreu, o dispositivo comprometido pode se tornar um zumbi automatizado no serviço de hackers. Se o hacker definiu tarefas automáticas dentro do dispositivo da vítima, é provável que essas tarefas produza tráfego anômalo que possa ser detectado por sistemas de detecção de intrusões, como ossec ou bufando que merecem um tutorial dedicado cada um, temos o seguinte para você começar com o mais popular:

  • Configure IDs de Snort e crie regras
  • Introdução ao OSSEC (sistema de detecção de intrusões)
  • Alertas de bufar
  • Instalação e uso do sistema de detecção de intrusões para proteger servidores e redes

Além disso, para a configuração do IDS e a configuração adequada, você precisará executar tarefas adicionais listadas abaixo.

Monitore a atividade dos usuários para saber se o sistema foi invadido

Se você suspeitar que foi invadido o primeiro passo é garantir que o intruso não esteja conectado ao seu sistema, você pode alcançá -lo usando comandos “c" ou "Quem”, O primeiro contém informações adicionais:

# c

Observação: comandos “w” e “quem” não pode mostrar os usuários registrados em terminais pseudo.

A primeira coluna mostra o nome de usuário, Nesse caso, Linuxhint e Linuxlat são registrados, a segunda coluna Tty mostra o terminal, a coluna DE Mostra o endereço do usuário, neste caso, não há usuários remotos, mas se fossem, você pode ver endereços IP lá. O CONECTE-SE@ coluna mostra o tempo de login, a coluna JCPU resume a ata do processo executado no terminal ou no TTY. o PCPU mostra a CPU consumida pelo processo listado na última coluna O QUE. As informações da CPU são estimativas e não exatas.

Enquanto c é igual à execução tempo de atividade, Quem e ps -a Juntos, outra alternativa, mas menos informativa, é o comando “Quem”:

# Quem

Outra maneira de supervisionar a atividade dos usuários é através do comando "último", que permite ler o arquivo WTMP que contém informações sobre acesso ao login, fonte de login, tempo de login, com recursos para melhorar os eventos de login específicos, para experimentá -lo

# durar

A saída mostra o nome de usuário, terminal, endereço de origem, tempo de login e duração total da sessão.

Se você suspeitar de atividades maliciosas por um usuário específico, pode verificar o histórico da Bash, faça login como o usuário que deseja investigar e executar o comando história Como no exemplo seguinte:

# su
# história

Acima, você pode ver o histórico dos comandos, isso comandos funciona lendo o arquivo ~/.Bash_history Localizado na casa dos usuários:

# menos /home //.Bash_history

Você verá dentro deste arquivo a mesma saída do que quando estiver usando o comando “história”.

É claro que este arquivo pode ser facilmente removido ou seu conteúdo forjado, as informações fornecidas por ele não devem ser tomadas como um fato, mas se o atacante executou um comando "ruim" e esquecesse de remover o histórico, ele estará lá.

Verificando o tráfego da rede para saber se o sistema foi invadido

Se um hacker violou sua segurança, existem grandes probabilidades que ele deixou um backdoor, uma maneira de voltar, um script fornecendo informações especificadas como spam ou bitcoins de mineração, em algum momento, se ele mantiver algo em seu sistema comunicando ou enviando qualquer informação que você deve ser capaz de observar isso monitorando seu tráfego procurando atividade incomum.

Para começar, vamos executar o comando iftop, que não aparece na instalação padrão do Debian por padrão. Em seu site oficial, o IfTop é descrito como "o comando principal para uso da largura de banda".

Para instalá -lo nas distribuições de Debian e Linux baseadas: Run:

# apt install iftop

Uma vez instalado, execute -o com sudo:

# sudo iftop -i

A primeira coluna mostra o host local, neste caso Montsegur, => e <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Ao usar o IFTOP, feche todos os programas usando tráfego como navegadores da web, mensageiros, a fim de descartar o maior número possível de conexões aprovadas para analisar o que resta, identificar o tráfego estranho não é difícil.

O Command NetStat também é uma das principais opções ao monitorar o tráfego da rede. O comando a seguir mostrará as portas de escuta (l) e ativo (a).

# netstat -la

Você pode encontrar mais informações sobre o NetStat sobre como verificar portas abertas no Linux.

Verificando processos para saber se o sistema foi invadido

Em cada sistema operacional, quando algo parece dar errado, uma das primeiras coisas que procuramos são os processos para tentar identificar um desconhecido ou algo suspeito.

# principal

Ao contrário dos vírus clássicos, uma técnica de hacker moderna pode não produzir pacotes grandes se o hacker quiser evitar atenção. Verifique os comandos com cuidado e use o comando LSOF -P Para processos suspeitos. O comando LSOF permite ver quais arquivos são abertos e seus processos associados.

# LSOF -P

O processo acima de 10119 pertence a uma sessão de festa.

Claro para verificar os processos, existe o comando ps também.

# ps -axu

A saída PS -AXU acima mostra o usuário no primeiro colum (root), o ID do processo (PID), que é único, o uso da CPU e da memória por cada processo, memória virtual e tamanho do conjunto de residentes, terminal, estado do processo, seu horário de início e o comando que começou.

Se você identificar algo anormal, poderá verificar com o LSOF com o número PID.

Verificando seu sistema para infecções por rootkits:

Rootkits estão entre as ameaças mais perigosas para dispositivos, se não forem pior, uma vez que um kit de root foi detectado, não há outra solução se não reinstalar o sistema, às vezes um kit de root pode até forçar uma substituição de hardware. Felizmente, existe um comando simples que pode nos ajudar a detectar os rootkits mais conhecidos, o comando chkrootkit (check rootkits).

Para instalar o Chkrootkit nas distribuições Linux baseadas e baseadas em Linux:

# APT Install Chkrootkit


Uma vez instalado, basta executar:

# sudo chkrootkit


Como você vê, nenhum raízes foi encontrado no sistema.

Espero que você tenha encontrado este tutorial sobre como detectar se o seu sistema Linux foi invadido "útil.