Как проверить Linux-сервер (линукс сервер) на предмет взлома, если закрались какие либо подозрения?
Но сразу скажу что все зависит от квалификации злоумышленника и значимости ресурса.
По крайне мере думаю,что для многих это будет полезно и познавательно. Для начало сканируем с другого хоста что у нас открыто из подозрительных открытых портов, при помощи утилиты nmap: $ nmap -P0 -p 1-65505 XXX.XXX.XXX.XXX (или хост)
Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for host (XXX.XXX.XXX.XXX)
Host is up (0.0066s latency).
Not shown: 65499 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
1723/tcp open pptp
… …
Помимо утилиты chkrootkit, про которую писал ранее, есть еще один полезный пакет — rkhunter, который в купе с chkrootkit предназначен для обеспечения безопасности сервера на предмет троянов,вирусов, закладок и прочей «гадости» путем проверки MD5 сумм, контроля неверных прав доступа и сигнатур закладок в модулях ядра.
Ставим просто: $ apt-get install rkhunter
Перед запуском рекомендуется обновить базы $ rkhunter --update
Запуск производится следующим образом rkhunter -c -sk
[ Rootkit Hunter version 1.3.6 ]
Checking system commands…
…..
Есть хороший пакет chkrootkit который предназначен для поиска враждебного кода (rootkit) и иных подозрительных событий в системе. Рекомендую проверять систему периодически для пущего спокойствия или например, при подозрениях, что кто-то шарится по твоему серверу.
Из описания на chkrootkit — это сканер безопасности, который ищет в локальной системе признаки, указывающие на наличие ‘руткита’. Руткит — это набор программ, позволяющих полностью управлять чужим компьютером через известные уязвимости.
Типы определяемых руткитов перечислены на .
Заметим, данная проверка не даёт полной гарантии, что компьютер не был взломан. В дополнение к chkrootkit используйте другие проверки. Читать далее…