Главная > В помощь sysadmin'y > Проверка Linux сервер на предмет взлома

Проверка Linux сервер на предмет взлома

Как проверить Linux-сервер (линукс сервер) на предмет взлома, если закрались какие либо подозрения?

Но сразу скажу что все зависит от квалификации злоумышленника и значимости ресурса.
По крайне мере думаю,что для многих это будет полезно и познавательно. Для начало сканируем с другого хоста что у нас открыто из подозрительных открытых портов, при помощи утилиты nmap:
$ nmap -P0 -p 1-65505 XXX.XXX.XXX.XXX (или хост)

Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for host (XXX.XXX.XXX.XXX)
Host is up (0.0066s latency).
Not shown: 65499 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
1723/tcp open pptp
… …


Тут ни чего подозрительного нету, попробуем сделать тоже самое только уже с нашей проверяемой машины:
$ nmap -P0 -p 1-65505 127.0.0.1

Starting Nmap 4.62 ( http://nmap.org )
Interesting ports on localhost (127.0.0.1):
Not shown: 65495 closed ports
PORT STATE SERVICE
21/tcp open ftp
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
443/tcp open https
665/tcp open unknown
953/tcp open rndc
… ….

И вот у нас появился 665/tcp unknown, что это я ни представляю, но он висит на localhost’e и поэтому угрозы не проставляет,но на его примере рассмотрим наши дальнейшие действия, смотрим, кто его слушает:
$ netstat -anp | grep LISTEN | grep 665

tcp 0 0 127.0.0.1:665 0.0.0.0:* LISTEN 2185/famd

$ ps -eaf| grep 2185

root 2185 1 0 Jan31 ? 00:00:00 /usr/sbin/famd -T 0
root 15067 9340 0 20:54 pts/1 00:00:00 grep 2185

Узнал что это такое только при написании этой заметки, почитать можно здесь про FAM.
Так же обогатился знанием, и узнал и про пакет lsof, который тоже внесет ясность, ставиться просто
$ aptitude install lsof
Запускаем:
$ lsof -i
.... .....
famd 2185 root 3u IPv4 6460 TCP localhost:665 (LISTEN)
....

видем что он слушается на localhost’е и нет проблем для беспокойства.
Так же можно:
$ netstat -nlpt

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
…. …..
tcp 0 0 127.0.0.1:665 0.0.0.0:* LISTEN 2185/famd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 2016/named
… …..

$ netstat -pantu
$ netstat -anp
Проверяем файл /etc/passwd. На предмет новых пользователей или подозрительных записей:
$ cat /etc/passwd
И в добавок проверяем нашу систему (линукс сервер) на установленные руткиты, при помощи пакета — rkhunter.

Так же назначения всех стандартных портов и что на них висит можно уточнить посмотрев — Проверка системы на rootkit ‘руткиты’

  • Утилита для проверка системы на rootkit ‘руткиты’.
  • AWStats анализатор логов для статистики
  • FTP сервер на базе vsftpd и MySQL в Debian (Ubuntu)
  • Релиз Zabbix 2.0
    1. Пока что нет комментариев.
    1. Пока что нет уведомлений.
    Необходимо войти на сайт, чтобы написать комментарий.