Quali sono i modi migliori per verificare la manomissione / cattivo comportamento su un server Linux che è già stato configurato ma è la prima volta che ci si collega

2

Per questo suppongo di avere un server che è di un cliente o di un amico, quindi l'aiutante non ha familiarità con esattamente come dovrebbero essere le cose.

Quali sono i buoni comandi e i modi per controllare se è in corso qualcosa di brutto?

So che abbiamo: il comando 'history', per vedere i comandi che sono stati immessi e il comando 'last' per vedere chi ha effettuato l'accesso.

Esiste una guida generale o una serie di migliori pratiche a cui posso fare riferimento? Sto usando Ubuntu da solo.

    
posta 30.12.2013 - 21:27
fonte

1 risposta

3

Se hai motivo di credere che il sistema possa essere compromesso, cancella il server e ripristina dall'ultimo backup conosciuto.

Prendete comunque un'immagine per vedere se è possibile determinare in che modo il sistema è stato compromesso e collegare la vulnerabilità. Ma questo non è un processo facile, soprattutto se non si ha esperienza in questo genere di cose - anzi se si tenta di farlo da soli allora è probabile che tale intervento possa occludere la natura del compromesso - certamente le "prove" sarebbero considerate gravemente contaminate da qualsiasi autorità di contrasto / giurisdizione.

La convalida dei checksum del pacchetto è un punto di partenza, ma non altrettanto efficace quanto un regime di controllo dell'integrità dei file correttamente gestito (tripwire, LIDS, ecc.). I registri sono anche un buon posto per guardare. Ma devi capire cosa ti stanno dicendo questi strumenti.

C'è un sacco di cose che dovresti fare prima un sistema è compromesso: configurazione delle autorizzazioni, firewall, facoltativamente installazione di ulteriori misure di sicurezza come mod_security, suhosin, fail2ban, ecc. Parte del mantenimento di un il server dovrebbe eseguire regolarmente un rilevatore di rootkit su di esso. Per un sistema / cluster di valore significativo si dovrebbe eseguire anche la scansione periodica della vulnerabilità. Ma non ha senso fare nulla di tutto questo dopo l'evento.

    
risposta data 31.12.2013 - 11:06
fonte

Leggi altre domande sui tag