Linux 서버가 해킹되었는지 어떻게 알 수 있습니까? 무엇입니까? 감사 보고서를 예약하여 생성하고

리눅스 서버가 해킹되었다는 이야기는 무엇입니까? 감사 보고서를 예약하여 생성하고 이메일로 보낼 수있는 도구가 있습니까?



답변

  1. 깨끗한 사본 그들의 md5sum이 함께 어딘가 (예 : LS, PS, NETSTAT, md5sum이 같은) 중요한 시스템 파일을 정기적으로 라이브 버전을 비교합니다. 루트킷은 이러한 파일을 항상 수정합니다. 원본이 손상되었다고 생각되면이 사본을 사용하십시오.
  2. aide 또는 tripwire 는 데이터베이스가 변경되지 않았다고 가정하여 수정 된 파일을 알려줍니다.
  3. 침입자가 조작 할 수없는 원격 로그 서버로그 파일을 보내도록 syslog를 구성하십시오 . 의심스러운 활동이 있는지 원격 로그 파일을보십시오.
  4. 로그를 정기적으로 읽으십시오 – 중요한 정보를 종합 하려면 logwatch 또는 logcheck 를 사용 하십시오.
  5. 서버를 알고 있어야합니다 . 어떤 종류의 활동과 로그가 정상적인 지 파악하십시오.

답변

당신은하지 않습니다.

나는 알고있다-그러나 그것은 편집증, 슬픈 진실이다.;) 물론 많은 힌트가 있지만, 시스템이 구체적으로 타깃팅 되었다면-말하기가 불가능할 수도있다. 아무것도 안전하지 않다는 것을 이해하는 것이 좋습니다. 그러나 우리는보다 안전하게 작업해야하므로 대신 다른 모든 대답을 지적 할 것입니다.)

시스템이 손상된 경우 진실을 밝히기 위해 시스템 도구를 신뢰할 수 없습니다.


답변

Tripwire 는 일반적으로 사용되는 도구입니다. 시스템 파일이 변경되면이를 미리 설치해야하지만 시스템 파일이 변경되면이를 알려줍니다. 그렇지 않으면 알지 못하는 새 사용자 계정, 이상한 프로세스 및 알 수없는 파일 또는 명백한 이유없이 대역폭 사용량이 증가하는 등의 항목이 일반적인 징후입니다.

Zabbix 와 같은 다른 모니터링 시스템 은 / etc / passwd와 같은 파일이 변경 될 때 경고하도록 구성 할 수 있습니다.


답변

과거에 나를 괴롭힌 것들 :

  • 유휴 상태 여야하는 시스템의 높은 부하
  • 이상한 segfaults, 예. 같은 표준 유틸리티에서 ls(이것은 깨진 루트 키트로 발생할 수 있습니다)
  • /또는에 숨겨진 디렉토리 /var/(대부분의 스크립트 키즈는 트랙을 다루기에는 너무 어리 석거나 게으르다)
  • netstat 존재하지 않아야하는 열린 포트를 표시합니다
  • 프로세스 목록에서 일반적으로 다른 맛을 사용하는 데몬 (예 : bind항상 djbdns)

또한 상자가 손상되었다는 확실한 징후가 있다는 것을 알았습니다. 시스템을 상속받은 관리자의 부지런함 (업데이트 등)에 대해 나쁜 생각이 든다면주의 깊게 관찰하십시오!


답변

를 통해 해킹 서버를 확인하는 방법이있다 kill

기본적으로 “kill -0 $ PID”를 실행하면 식별자 $ PID를 처리하기 위해 nop 신호가 전송됩니다. 프로세스가 실행 중이면 kill 명령이 정상적으로 종료됩니다. (FWIW, nop kill 신호를 전달하기 때문에 프로세스에 아무런 변화가 없습니다). 프로세스가 실행되고 있지 않으면 kill 명령이 실패합니다 (종료 상태가 0보다 작음).

서버가 해킹 / 루트킷이 설치 될 때 가장 먼저하는 일은 커널에게 프로세스 테이블 등에서 영향을받는 프로세스를 숨기도록 지시하는 것입니다. 그러나 커널 공간에서 모든 종류의 멋진 작업을 수행하여 프로세스. 그리고 이것은

a) 잘 코딩 된 / 지능적인 루트킷은 커널이 “프로세스가 존재하지 않습니다”라는 응답으로 커널이 응답하도록하므로이 점검은 광범위하게 수행되지 않습니다. b) 어느 쪽이든 해킹 된 서버에 “불량”프로세스가 실행되면 PID는 일반적으로 / proc에 표시되지 않습니다.

따라서 지금까지 여기에 있다면 방법은 시스템에서 사용 가능한 모든 프로세스 (1-> / proc / sys / kernel / pid_max의 모든 프로세스)에서 -0을 종료하고 실행 중이지만보고되지 않은 프로세스가 있는지 확인하는 것입니다 / proc에

일부 프로세스가 실행중인 것으로 나타나지만 / proc에보고되지 않은 경우 프로세스에 문제가있을 수 있습니다.

https://gist.github.com/1032229의 모든 것을 구현하는 bash 스크립트가 있습니다 . proc에보고되지 않은 프로세스가 발견되면 파고 시작해야합니다.

HTH.


답변

나는 여기에 주어진 답변을 두 번째로 내 자신의 하나를 추가합니다.

find /etc /var -mtime -2

지난 2 일 동안 주 서버 파일이 변경된 경우 빠른 표시가됩니다.

이것은 해킹 탐지에 대한 기사입니다 서버가 해킹되었는지 탐지
하는 방법.


답변

에서 어떻게 내 서버에서 원치 않는 침입을 감지 할 수 있습니까?

  • IDS 사용

    SNORT®는 규칙 기반 언어를 사용하는 오픈 소스 네트워크 침입 방지 및 탐지 시스템으로 서명, 프로토콜 및 이상 기반 검사 방법의 이점을 결합합니다. Snort는 현재까지 수백만 건의 다운로드를 통해 전 세계에서 가장 널리 보급 된 침입 탐지 및 방지 기술이며 사실상 업계의 표준이되었습니다.

    Snort는 네트워크 트래픽을 읽고 누군가가 서버에 대해 전체 메타 스플 로이트 스캔을 실행하는 “펜 테스트로 구동”과 같은 것을 찾을 수 있습니다. 제 생각에는 이런 종류의 것들을 아는 것이 좋습니다.

  • 로그를 사용하십시오 …

    사용법에 따라 사용자가 로그인하거나 홀수 IP에서 로그인 할 때, 루트 로그인 또는 누군가 로그인을 시도 할 때마다 알 수 있도록 설정할 수 있습니다. 실제로 서버 는 디버그보다 높은 모든 로그 메시지를 전자 메일로 보냅니다 . 예, 심지어 고시. 물론 그중 일부를 필터링하지만 매일 아침 물건에 대한 10 개의 이메일을 받으면 문제가 해결되도록 수정하고 싶습니다.

  • 구성 모니터링-실제로 전체 / etc를 하위 버전으로 유지하므로 개정을 추적 할 수 있습니다.

  • 스캔을 실행하십시오. LynisRootkit Hunter 와 같은 도구 를 사용하면 응용 프로그램의 보안 허점에 대해 경고 할 수 있습니다. 모든 저장소의 해시 또는 해시 트리를 유지 관리하고 변경 사항을 경고하는 프로그램이 있습니다.

  • 디스크 공간을 언급 한 것처럼 서버를 모니터하십시오. 그래프는 무언가 비정상적인 경우 힌트를 줄 수 있습니다. 내가 사용하는 선인장을 뭔가 경우 등 CPU, 네트워크 트래픽, 디스크 공간, 온도에 눈을 유지하는 모습이 홀수가 있다 홀수가 이상한 이유를 알아해야한다.