GNU/Linux >> Linux の 問題 >  >> Linux

セキュリティの侵害を確認します:裏口と侵入者

クラウドサーバーは、脆弱なパスワード、脆弱なipテーブル、既知のエクスプロイトを備えた古いソフトウェアバージョンなど、さまざまな要因によって危険にさらされる可能性があります。

クラウドサーバーが侵害された場合でも、慌てる必要はありません。パニックは意思決定の質を低下させ、状況を悪化させる可能性があります。代わりに、何が起こったのかを理解し、同じ方法でクラウドサーバーが再び侵害されないようにしてください。この記事の目的は、間違いから学び、同じ間違いを繰り返さないようにすることです。

この記事では、サーバーが危険にさらされている疑いがある場合にサーバーを調査するために使用できるいくつかの手法とツールについて説明します。レスキューモードに入る前に、これらのツールを使用する必要があります(レスキューモードの詳細については、セキュリティ侵害の確認:レスキューモードの調査を確認してください)。この記事で使用したクラウドサーバーはUbuntu®8.10を実行していました。ただし、示されている手順は他のLinux®ディストリビューションでも同様です。

重要な警告

先に進む前に、重要な決定を下す必要があります。法執行機関を巻き込み、攻撃者を起訴する予定はありますか?その場合は、侵害されたシステムをそのままにして、変更を加えないでください。攻撃後に行った変更は、証拠を汚し、調査を複雑にする可能性があります。そのため、一般的なポリシーは、侵害が検出された後にシステムの電源を切り、法執行機関が調査する準備ができるまでシステムの電源を切ることです。

ネットワーク接続を確認する

クラウドサーバーのネットワーク接続を確認して調査を開始します。

netstat -anを使用します 次の例のような出力を生成するコマンドは、クラウドサーバーで開いているバックドアをチェックします。

netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q             Local Address                     Foreign Address            State
tcp        0               0                         0.0.0.0:22                               0.0.0.0:*                  LISTEN
tcp        0               0                         0.0.0.0:80                               0.0.0.0:*                  LISTEN
tcp        0               0                         0.0.0.0:25                               0.0.0.0:*                  LISTEN
tcp        0             284                      1.2.3.4:6697                           5.6.7.8:34506              ESTABLISHED

この例では、ポート6697が開いています。このポートは、インターネットリレーチャット(IRC)サーバーで一般的に使用されます。独自のチャットサーバーを実行している場合を除いて、これは良い兆候ではありません。次のtcpdumpを使用して、そのポートへの接続を検出できます。 コマンド:

tcpdump src port 6697

このコマンドは、宛先ポート6697のすべてのパケットをキャプチャします。

lsofを使用

多くのUNIX®ベースのシステムは、開いているファイルのリスト(lsof)を使用します )開いているすべてのファイルとそれらを開いたプロセスのリストを報告するコマンドラインユーティリティ。デフォルトでは、Linuxはデバイスを含むすべてをファイルとして扱います。これにより、lsofが作成されます 非常に強力なツールです。

すべての仮想マシン(VM)にlsofがあるわけではありません デフォルトでインストールされるため、yumを使用してインストールする必要がある場合があります またはapt-get 次の応答が表示された場合:

-bash: lsof: command not found

たとえば、lsofを使用できます 特定のファイルを開いているユーザーを確認するには:

sudo lsof /etc/passwd

侵入者の管理下にあるユーザー名を見つけた場合は、lsofを使用できます。 侵入者の実行中のすべてのプロセスを表示するには:

sudo lsof -u hisUserName

lsof また、ネットワーク接続を確認するのにも役立ちます。システムが危険にさらされている疑いがある場合、どのコマンドが信頼できる結果を提供するかわからないため、複数のツールを使用してクラウドサーバーのさまざまな側面を調査することが重要です。また、lsof netstatといういくつかのオプションを提供します しません。

クラウドサーバーのセキュアシェル(SSH)サーバーに関連付けられているすべての開いているインターネットプロトコル(IP)ソケットを一覧表示するには、次のコマンドを実行します。

sudo lsof -i:22
概要

この記事では、サーバー上のバックドアを発見して侵入者を追跡するためのいくつかのテクニックを学びました。これらの手法は、侵害につながった状況や間違いを繰り返さないようにするのに役立つため、同じように再びハッキングされる可能性は低くなります。次の記事「セキュリティ侵害のチェック:レスキューモードの調査」では、レスキューモードでクラウドサーバーを調査する方法を学びます。


Linux

  1. ハッキングのためのトップ6の無料およびオープンソースのLinuxディストリビューション

  2. ハードディスク全体にエラーや不良セクタがないかどうかを確認するにはどうすればよいですか?

  3. EINTR をチェックして関数呼び出しを繰り返すのはいつですか?

  1. BashForループガイドと例

  2. netstat、lsof、およびnmapを使用してLinuxで開いているポートを確認する方法

  3. IP の有効性を確認する

  1. Linuxシステム管理者向けのトレーニングと認定

  2. バックスペースをノーチラス(3.18+)に戻す!?

  3. データベースに破損がないか確認してください