it-swarm-ko.tech

Linux 서버가 해킹되었는지 어떻게 알 수 있습니까?

리눅스 서버가 해킹 당했다는 이야기는 무엇입니까? 감사 보고서를 정기적으로 생성하여 이메일로 보낼 수있는 도구가 있습니까?

36
cowgod
  1. 중요한 시스템 파일 (예 : ls, ps, netstat, md5sum)의 pristine copy를 md5sum과 함께 어딘가에두고 정기적으로 라이브 버전과 비교하십시오. 루트킷은 이러한 파일을 항상 수정합니다. 원본이 손상되었다고 생각되면이 사본을 사용하십시오.
  2. aide 또는 tripwire는 데이터베이스가 변경되지 않았다고 가정하여 수정 된 파일을 알려줍니다.
  3. 로그 파일을 침입자가 조작 할 수없는 원격 로그 서버로 보내도록 syslog를 구성하십시오. 의심스러운 활동이 있는지 원격 로그 파일을 확인하십시오.
  4. 로그 읽기 정기적으로 logwatch 또는 logcheck를 사용하여 중요한 정보를 종합하십시오.
  5. 서버 파악. 어떤 종류의 활동과 로그가 정상적인 지 파악하십시오.
34
Brent

당신은하지 않습니다.

나는 알고있다-그러나 그것은 편집증, 슬픈 진실이다.;) 물론 많은 힌트가 있지만, 시스템이 구체적으로 타깃팅 되었다면-말하기가 불가능할 수도있다. 아무것도 안전하지 않다는 것을 이해하는 것이 좋습니다. 그러나 우리는보다 안전하게 작업해야하므로 대신 다른 모든 대답을 지적 할 것입니다.)

시스템이 손상된 경우 진실을 밝히기 위해 시스템 도구를 신뢰할 수 없습니다.

12
Oskar Duveborn

과거에 나를 괴롭힌 것들 :

  • 유휴 상태 여야하는 시스템의 높은 부하
  • 이상한 segfaults, 예. ls와 같은 표준 유틸리티에서 (이것은 깨진 루트 키트로 발생할 수 있습니다)
  • / 또는 /var/에 숨겨진 디렉토리
  • netstat는 열려 있지 않은 열린 포트를 보여줍니다.
  • 프로세스 목록에서 일반적으로 다른 맛을 사용하는 데몬 (예 : bind, 항상 djbdns)

또한 상자가 손상되었다는 확실한 신호가 있다는 것을 알았습니다. 시스템을 상속받은 관리자의 부지런함 (업데이트 등)에 대해 나쁜 감정을 가지고 있다면주의 깊게 관찰하십시오!

11
user1686

Tripwire 는 일반적으로 사용되는 도구입니다. 시스템 파일이 변경되면이를 미리 알려 주어야하지만 시스템 파일이 변경되면 알려줍니다. 그렇지 않으면 알지 못하는 새 사용자 계정, 이상한 프로세스 및 인식 할 수없는 파일 또는 명백한 이유없이 대역폭 사용량 증가와 같은 항목이 일반적인 징후입니다.

/ etc/passwd와 같은 파일이 변경 될 때 경고하도록 Zabbix 와 같은 다른 모니터링 시스템을 구성 할 수 있습니다.

11
Whisk

kill-를 통해 해킹 된 서버를 확인하는 방법이 있습니다

기본적으로 "kill -0 $ PID"를 실행하면 식별자 $ PID를 처리하기 위해 nop 신호가 전송됩니다. 프로세스가 실행 중이면 kill 명령이 정상적으로 종료됩니다. (FWIW, nop kill 신호를 전달하기 때문에 프로세스에 아무런 변화가 없습니다). 프로세스가 실행되고 있지 않으면 kill 명령이 실패합니다 (종료 상태가 0보다 작음).

서버가 해킹/루트킷이 설치 될 때 가장 먼저하는 일은 커널에게 프로세스 테이블 등에서 영향을받는 프로세스를 숨기도록 지시하는 것입니다. 그러나 커널 공간에서 모든 종류의 멋진 작업을 수행하여 프로세스. 그리고 이것은

a) 잘 코딩 된/지능적인 루트킷은 커널이 "프로세스가 존재하지 않습니다"라는 응답으로 커널이 응답하도록하므로이 점검은 광범위하게 수행되지 않습니다. b) 어느 쪽이든, 해킹 된 서버에 "불량"프로세스가 실행되면 PID는 일반적으로/proc에 표시되지 않습니다.

So , 지금까지 여기 있다면 시스템에서 사용 가능한 모든 프로세스에서 -0을 죽이는 방법입니다 (1->/proc/sys/kernel/pid_max)를 실행하고/proc에 실행 중이지만보고되지 않은 프로세스가 있는지 확인하십시오.

일부 프로세스가 실행중인 것으로 나타나지만/proc에보고되지 않은 경우 프로세스에 문제가있을 수 있습니다.

다음은 https://Gist.github.com/1032229 을 구현하는 bash 스크립트입니다. proc에보고되지 않은 프로세스가 발견되면 파고 시작해야합니다.

HTH.

10
Shai

나는 여기에 주어진 답변을 두 번째로 내 자신의 하나를 추가합니다.

find /etc /var -mtime -2

지난 2 일 동안 주 서버 파일이 변경된 경우 빠른 표시가됩니다.

이것은 해킹 탐지에 관한 기사에서 가져온 것입니다. 서버가 해킹되었는지 감지하는 방법.

7
Ian Purton

서버에서 원치 않는 침입을 어떻게 탐지합니까?

  • IDS 사용

    SNORT®는 규칙 중심 언어를 사용하는 오픈 소스 네트워크 침입 방지 및 탐지 시스템으로 서명, 프로토콜 및 이상 기반 검사 방법의 이점을 결합합니다. Snort는 현재까지 수백만 건의 다운로드를 통해 전 세계에서 가장 널리 보급 된 침입 탐지 및 방지 기술로 업계의 실질적인 표준이되었습니다.

    Snort는 네트워크 트래픽을 읽고 누군가가 서버에 대해 전체 메타 스플 로이트 스캔을 실행하는 "펜 테스트로 구동"과 같은 것을 찾을 수 있습니다. 제 생각에는 이런 종류의 것들을 아는 것이 좋습니다.

  • 로그를 사용하십시오 ...

    사용량에 따라 사용자가 로그인하거나 홀수 IP에서 로그인 할 때 또는 루트 로그인 또는 누군가 로그인을 시도 할 때마다 알 수 있도록 설정할 수 있습니다. 실제로 서버에게 디버그보다 높은 every 로그 메시지를 전자 메일로 보냅니다. 예, 심지어 고시. 물론 그중 일부를 필터링하지만 매일 아침 물건에 대한 10 개의 이메일을 받으면 문제가 해결되도록 수정하고 싶습니다.

  • 구성 모니터링-실제로 전체/etc를 Subversion에 유지하므로 개정을 추적 할 수 있습니다.

  • 스캔을 실행하십시오. LynisRootkit Hunter 와 같은 도구를 사용하면 응용 프로그램의 보안 허점에 대해 경고 할 수 있습니다. 모든 저장소의 해시 또는 해시 트리를 유지 관리하고 변경 사항을 경고하는 프로그램이 있습니다.

  • 디스크 공간을 언급 한 것처럼 서버를 모니터링하십시오. 그래프는 무언가 비정상적인 경우 힌트를 줄 수 있습니다. Cacti 를 사용하여 CPU, 네트워크 트래픽, 디스크 공간, 온도 등을 주시합니다. looks 이상하면 is = 홀수이고 왜 홀수인지 알아 내야합니다.

5
Tom Ritter

나는 이것에 추가하고 싶다 :

Bash 기록을 확인하십시오. 비었거나 설정을 해제하거나 비우지 않은 경우 누군가가 서버를 손상 시켰을 가능성이 있습니다.

마지막으로 확인하십시오. 알 수없는 I.P가 보이거나 매우 비어 있습니다.

그런 다음 승인 된 답변에서 언급 한대로 시스템 파일이 자주 변경되므로 수정 한 날짜를 확인하십시오. 그러나 그들은 종종 수정 된 날짜를 변조합니다.

그들은 종종 임의의 포트에서 실행되는 다른 버전의 ssh를 설치합니다. 이것은 종종 이상한 곳에서 숨겨져 있습니다. 일반적으로 ssh가 아닌 다른 이름으로 바뀝니다. 따라서 netstat를 점검하고 (자주 교체 할 때 작동하지 않을 수 있음) iptables를 사용하여 알 수없는 포트를 차단하십시오.

어쨌든 이것은 예방보다 치료보다 낫습니다. 손상된 경우 포맷하고 다시 시작하는 것이 가장 좋습니다. 해킹을 성공적으로 청소했는지 확인하는 것은 거의 불가능합니다.

서버가 손상되지 않도록 다음 사항에 유의하십시오.

  1. SSH 포트 변경
  2. 루트가 로그인 할 수 없도록 방지
  3. 특정 사용자 만 허용
  4. 비밀번호 로그인 방지
  5. Ssh 키, 선호하는 암호로 보호 된 키 사용
  6. 가능하면 모든 IP를 차단하고 필요한 IP를 허용하십시오.
  7. Fail2ban 설치 및 구성
  8. 트립 와이어를 사용하여 침입 탐지
  9. Nagios 또는 zabbix로 로그인 한 사용자 수를 모니터링하십시오. 로그인 할 때마다 알림을 받더라도 최소한 다른 사람이 언제 게임을하고 있는지 알 수 있습니다.
  10. 가능하면 서버를 VPN에 유지하고 VPN IP를 통해서만 ssh를 허용하십시오. VPN을 확보하십시오.

한 서버에 일단 들어가면 bash 기록을 확인하고 해당 서버에서 ssh를 통해 연결된 다른 서버를 찾습니다. 그런 다음 해당 서버에 연결을 시도합니다. 따라서 암호가 잘못되어 강제 공격을 당하면 다른 서버에 연결하여 해당 서버를 손상시킬 수 있습니다.

그것은 못생긴 세상입니다. 예방은 치료보다 낫습니다.

2
Rob

조금 검색 한 후에도 이것도 있습니다 . http://www.chkrootkit.org/http : // www.rootkit.nl/projects/rootkit_hunter.html

1
Shai

GuardRail을 확인해야합니다. 매일 서버를 스캔하고 니스 방식으로 변경된 사항을 알려줍니다. 에이전트가 필요하지 않고 SSH를 통해 연결할 수 있으므로 에이전트로 시스템과 자원을 정리할 필요가 없습니다.

무엇보다도 최대 5 대의 서버에 무료로 제공됩니다.

여기에서 확인하십시오.

https://www.scriptrock.com/

0
Cheyne