GNU/Linux >> Belajar Linux >  >> Linux

Periksa kompromi keamanan:Penyelidikan mode penyelamatan

Dalam artikel Periksa kompromi keamanan:Pintu belakang dan penyusup, Anda mempelajari beberapa teknik dasar untuk mengumpulkan informasi yang diperlukan untuk mengidentifikasi penyusup yang telah menyusup ke server Anda. Artikel ini menjelaskan cara menggunakan Mode Penyelamatan Panel Kontrol Cloud untuk melihat lebih dekat pada sistem Anda. Anda dapat menggunakan mode penyelamatan untuk lebih memahami bagaimana server Anda disusupi dan untuk mengidentifikasi file yang tidak disusupi sebelum mencadangkan data.

Aktifkan mode penyelamatan

Karena sistem operasi Cloud Server Anda mungkin juga disusupi, Anda tidak dapat mengandalkannya. Penyusup dapat mengkompromikan binari seperti 'ls,''find,' dan 'netstat,' sehingga output mereka dapat menyesatkan Anda. Akibatnya, Anda harus menggunakan lingkungan sistem operasi yang berbeda untuk menyelidiki kompromi dengan aman.

Anda dapat melakukannya dengan menggunakan fitur mode penyelamatan yang disediakan di Panel Kontrol Cloud. Untuk petunjuk dan informasi lebih lanjut, lihat Mode Penyelamatan.

Saat server Anda dalam mode penyelamatan, Anda dapat melakukan tindakan berikut untuk menemukan sumber penyusupan.

Pindai rootkit

Kami menyarankan Anda menginstal dan menggunakan alat berikut untuk memindai sistem Anda untuk rootkit.

Pindai rootkit dengan chkrootkit

chkrootkit mencari tanda tangan yang diketahui dalam sistem biner yang disusupi. Misalnya, beberapa versi ps . yang disusupi memiliki “/dev/ptyp ” di dalam mereka. Direkomendasikan untuk menginstal chkrootkit dengan menggunakan manajer paket Anda daripada mengkompilasi dari sumber. Untuk opsi dan informasi lebih lanjut tentang penggunaan chkrootkit, lihat http://www.chkrootkit.org/README.

  1. Untuk menginstalnya, jalankan perintah berikut:

     apt-get install chkrootkit

  2. Jalankan chkrootkit terhadap sistem file yang dipasang dari Server Cloud:

     chkrootkit -r /mnt/demo

Pesan berikut dicetak oleh chkrootkit selama pengujiannya:

  • INFECTED - tes telah mengidentifikasi perintah yang mungkin dimodifikasi oleh rootkit yang dikenal

  • not infected - tes tidak menemukan tanda tangan rootkit yang diketahui

  • not tested - tes tidak dilakukan

    Hal ini dapat terjadi dalam situasi berikut:

    • Tes ini khusus untuk OS
    • Pengujian bergantung pada program eksternal yang tidak tersedia
    • Beberapa opsi baris perintah tertentu diberikan (misalnya, -r )

  • not found - perintah yang akan diuji tidak ditemukan

  • Vulnerable but disabled - perintahnya terinfeksi

Untuk opsi dan informasi lebih lanjut tentang penggunaan chkrootkit , lihat https://www.chkrootkit.org/README.

Pindai rootkit dengan rkhunter

Rootkit Hunter (rkhunter ) memeriksa sistem terhadap basis data rootkit yang diketahui. Ia juga dapat memeriksa file sistem lain untuk memastikan file tersebut sesuai dengan properti dan nilai yang diharapkan.

  1. Masuk ke aplikasi terminal Anda dan ubah ke sources direktori:

     cd ~/sources

  2. Unduh versi terbaru rkhunter dari area unduhan SourceForge:

     https://sourceforge.net/projects/rkhunter/files/

  3. Setelah Anda menginstal rkhunter , jalankan dengan /mnt/demo .

     rkhunter -c -r /mnt/demo

rkhunter menghasilkan peringatan selama pengujian yang menunjukkan di mana file telah menyimpang dari default yang diharapkan. Setelah pengujian, Anda dapat memeriksa log untuk melihat informasi lebih rinci tentang file mana yang menghasilkan peringatan. Untuk opsi dan informasi lebih lanjut tentang menggunakan rkhunter , lihat https://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/README.

Periksa perintah terakhir

Untuk mendapatkan gambaran tentang bagaimana keamanan Server Cloud dilanggar, periksa perintah yang dijalankan pengguna sebelum Server Cloud disusupi.

.bashhistory file berisi perintah terakhir yang digunakan dengan shell Bash. Anda perlu memeriksa .bashhistory file di direktori home setiap pengguna. .bashhistory yang paling penting file adalah milik root:/root/.bashhistory .

Server Cloud yang disusupi mungkin memiliki entri seperti berikut:

wget https://malware.tar.gz
gunzip malware.tar.gz
tar xf malware.tar

Periksa paket yang diinstal

Semua perubahan pada sistem pengemasan disimpan di /var/log/dpkg.log distribusi berbasis onDebian. Periksa file ini untuk aktivitas mencurigakan seperti paket yang diinstal atau dihapus, atau bus yang dimodifikasi.

Jalankan perintah berikut untuk menampilkan 50 baris terakhir dpkg.log berkas:

tail 50 /mnt/demo/var/log/dpkg.log

Gunakan perintah find

find perintah biasanya digunakan untuk mencari nama file dengan pola tertentu. Namun, Anda juga dapat menggunakannya untuk menemukan file yang dimodifikasi atau diakses dalam jangka waktu tertentu.

Misalnya, Anda dapat menemukan semua file di /etc dimiliki oleh root yang telah dimodifikasi dalam dua hari terakhir, sebagai berikut:

find /mnt/demo/etc -user root -mtime -2

Pilihan yang tersedia adalah sebagai berikut:

-atime: when the file was last accessed
-ctime: when the file's permissions were last changed
-mtime: when the file's data was last modified

Perhatikan tanda minus di depan '2' pada contoh sebelumnya. Opsi 'waktu' untuk find perintah dinyatakan dalam peningkatan 24 jam, dan simbol yang digunakan di depan nomor dapat menunjukkan kurang dari atau lebih besar dari .Jadi '-2' berarti Anda ingin menemukan file yang dimodifikasi dalam dua hari terakhir. Jika Anda ingin menemukan file yang diubah lebih dari 2 hari yang lalu, gunakan +2 :

find /mnt/demo/etc -user root -mtime +2

Ada juga versi atime , ctime , dan mtime argumen yang mengukur waktu dalam menit:

-amin: when (in minutes) the file was last accessed
-cmin: when (in minutes) the file's permissions were last changed
-mmin: when (in minutes) the file's data was last modified

Contoh

Temukan semua file di Server Cloud Anda yang dimiliki oleh demo pengguna yang telah diakses dalam lima menit terakhir:

find /mnt/demo -user demo -amin -5

Berikut daftar find opsi perintah mungkin berguna saat menyelidiki penyelidikan Server Cloud yang disusupi:

-nouser: shows output not associated with an existing userid
-nogroup: shows output not associated with an existing groupid
-links n: file has n links
-newer file: file was modified more recently than file
-perm mode: file has mode permissions

Periksa log dan file mencurigakan

Anda dapat menemukan penyusup dengan memeriksa file yang mencurigakan di /tmp ,/var/tmp , /dev/shm , /var/spool/samba , /var/spool/squid , dan/var/spool/cron .

Anda juga dapat melihat file log di /var/log direktori. Misalnya,auth.log mencatat informasi login pengguna, termasuk alamat IP.

Ringkasan

Dalam Memeriksa kompromi keamanan:Pintu Belakang dan Penyusup, Anda mempelajari beberapa teknik yang digunakan untuk menemukan pintu belakang dan melacak penyusup di Server Cloud Anda. Ini akan membantu Anda menghindari situasi atau kesalahan yang mengarah pada kompromi, meminimalkan kemungkinan kompromi di masa depan. Dalam artikel ini, Anda telah mempelajari cara menyelidiki Server Cloud Anda dalam mode penyelamatan.

Apakah itu disebabkan oleh virus, kerusakan file, kegagalan mesin, atau kecelakaan tak terduga lainnya, kemungkinan kehilangan data adalah nyata. Untuk menghindari gangguan yang dapat menyebabkan kerugian seperti itu, buat cadangan file Anda secara teratur. Berikut adalah beberapa opsi untuk membantu Anda mengamankan file Anda:

  • Pencadangan Cloud Rackspace adalah pilihan yang baik untuk pelanggan Server Cloud. Ini sepenuhnya terintegrasi dengan Server Cloud, dan merupakan alternatif pencadangan berbasis file untuk pencadangan seluruh server gambar.
  • Bagi mereka yang lebih suka melakukannya sendiri, lihat Mencadangkan file Anda dengan rsync.

Linux

  1. Distribusi Linux Populer untuk Pengujian Keamanan

  2. Periksa validitas IP

  3. Periksa keberadaan wget/curl

  1. Nonaktifkan Shell Pengguna Karena Alasan Keamanan?

  2. Periksa Proses Jika Sama Sedang Berjalan?

  3. Satu Liner Untuk Memeriksa Ada File?

  1. Langkah-langkah keamanan lanjutan untuk Linux

  2. Periksa database untuk korupsi

  3. Selidiki server Windows yang disusupi