Полезные команды для определения взлома сервера

Май 6th, 2015

Evgeniy Kamenev

# last

# last

– просмотр списка пользователей, IP-адресов и времени входа в систему

# ls -lart /

1	# ls -lart /

— отсортированный по времени список измененных/добавленных/удаленных папок и файлов в системе

# netstat –na

1	# netstat –na

– спсиок текущих сокетов, подключений

# ps –wauxef

1	# ps –wauxef

– просмотр запущенных процессов

# cat .bash_history

1	# cat .bash_history

– просмотр истории команд(как для root, та ки для всех пользов с корректной оболочкой в /etc/passwd)

# top

# top

– проверка процессов, потребляющих много процессорного времени

# strace -p №PID

1	# strace -p №PID

– проверка работы подозрительного процесса по его идентификатору

# rpm –Va

# rpm –Va

– проверка целостности пакетов для Centos

# debsums -с

1	# debsums -с

– проверка целостности пакетов для Debian

# rpm –qa

# rpm –qa

– список пакетов установленных в хронологическом порядке

# lsattr /{\/bin,\/sbin,\/usr\/bin,\/usr\/sbin}| less

1	# lsattr /{\/bin,\/sbin,\/usr\/bin,\/usr\/sbin}\| less

– просмотр установки immutable-флага

# find / -mtime -1

1	# find / -mtime -1

– поиск файлов измененных в течение последних суток

# ls -al {\/tmp,\/var\/tmp,\/dev\/shm}

1	# ls -al {\/tmp,\/var\/tmp,\/dev\/shm}

– просмотр директорий с повышенной опасностью

Если что-то полезное будет найдено, тогда нужно обратить внимание на время, когда был загружен malware и проверять лог-файлы сервера в это время.

1.Быстрая и «грязная» проверка, были ли установлены атрибут immutable на бинарные файлы

# lsattr /usr/sbin | less

1	# lsattr /usr/sbin \| less

# lsattr /usr/bin | less

1	# lsattr /usr/bin \| less

# lsattr /bin | less

1	# lsattr /bin \| less

# lsattr /sbin | less

1	# lsattr /sbin \| less

2.Проеврка истории команд для всех пользователей, которые имеют валидный shell в /etc/passwd

# cat /home/$user/.bash_history

1	# cat /home/$user/.bash_history

Для пользователя root

# cat /root/.bash_history

1	# cat /root/.bash_history

3.Проверка наличия скрытых файлов и папок и файлов с правом выполнения

# ls -al /var/tmp | less

1	# ls -al /var/tmp \| less

# ls -al /tmp | less

1	# ls -al /tmp \| less

# ls -al /dev/shm/ | less

1	# ls -al /dev/shm/ \| less

4.Просмотр прослушивающих процессов,установленных соединений,запущенных процессов

Проверка процессов, слушающих входящие соединения

# netstat –napt

1	# netstat –napt

Проверка запущенных процессов

# ps –wauxxef

1	# ps –wauxxef

Проверка установленных ssh-соединений

# netstat -natp | grep sshd |awk '{print $4,$5,$6,$7}'

1	# netstat -natp \| grep sshd \|awk '{print $4,$5,$6,$7}'

5.Просмотр логов сервера на предемет brutoforce ssh попыток, логов Web-сервера(access-log)

# less /var/log/secure

1	# less /var/log/secure

# less /var/log/messages

1	# less /var/log/messages

# cd /var/log/httpd

1	# cd /var/log/httpd

# for i in `ls * |grep access`; do echo $i && grep curl $i; done

1	# for i in `ls * \|grep access`; do echo $i && grep curl $i; done

# for i in `ls * |grep access`; do echo $i && grep wget $i; done

1	# for i in `ls * \|grep access`; do echo $i && grep wget $i; done

Источник:

http://www.stephenlang.net/2012/12/investigating-compromised-servers/

Опубликовано в рубрике Linux/Unix General, Security

Метки: compromised server, exploit, malware, security

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.

Полезные команды для определения взлома сервера

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель