Проверка на взлом

Идея

• Сканирование вредоносных программ: clamAV
  • Официальный сайт: <http://pkgs.repoforge.org/clamav/>
• Установка CentOS: yum install -y clamav*
• Запуск службы clamAV: service clamd restart
• Обновление вирусной базы: freshclam
• Методы сканирования:
  • Сканировать каталог /etc, результаты поместить в каталог /root: clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
  • Сканировать каталог /bin, результаты поместить в каталог /root: clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
  • Сканировать каталог /usr, результаты поместить в каталог /root: clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
• Если в журнале есть похожие записи, значит, есть вредоносные программы:
  • /usr/bin/.sshd: Linux.Trojan.Agent FOUND
  • /usr/sbin/ss: Linux.Trojan.Agent FOUND
  • /usr/sbin/lsof: Linux.Trojan.Agent FOUND
• Посмотреть, сколько сейчас подключенных пользователей: who
• Посмотреть последних подключённых пользователей: last
• Просмотреть информацию о последних попытках подключения: grep "sshd" /var/log/secure
  • Много такой информации указывает на то, что кто-то постоянно пытается подключиться с правами root: Failed password for root from 222.186.56.168 port 4080 ssh2
• Просмотреть информацию о последнем успешном подключении: grep "Accepted" /var/log/secure, можно увидеть: pop3, ssh, telnet, ftp типы
• Проверить использование системных ресурсов: top
• Просмотреть все процессы: ps aux
• Посмотреть текущих подключённых пользователей и их историю: last | more
• Записать все последние выполненные команды в файл, а затем загрузить его для детального изучения: history >> /opt/test.txt
• Посмотреть всех пользователей системы: cat /etc/passwd |awk -F \: '{print $1}'
  • Более подробную информацию можно получить с помощью: cat /etc/passwd
• Проверить открытые порты, например, часто используемые 80, 22, 8009, стрелка после порта показывает программу, использующую порт: netstat -lnp
• Узнать информацию о конкретном порту: lsof -i :18954
• Проверить сервисы запуска: chkconfig
• Проверить таймеры: cat /etc/crontab
• Проверить другие важные системные файлы:
  • cat /etc/rc.local
  • cd /etc/init.d;ll
• Проверка файлов:
  • find / -uid 0 –perm -4000 –print
  • find / -size +10000k –print
  • find / -name "…" –print
  • find / -name ".. " –print
  • find / -name ". " –print
  • find / -name " " –print
• Скачать iftop для анализа трафика, чтобы проверить, не используется ли система как прокси для злоумышленников
• Установить iftop
  • Официальный сайт: <http://www.ex-parrot.com/~pdw/iftop/>
  • Использование статьи: <https://linux.cn/article-1843-1.html>
  • Без установки сторонних источников:
    • Установка зависимостей: yum install -y flex byacc libpcap ncurses ncurses-devel libpcap-devel
    • Загрузка исходного кода: wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
    • Распаковка: tar zxf iftop-0.17.tar.gz
    • Переход в распакованную директорию: cd iftop-0.17/
    • Компиляция: ./configure
    • Установка: make && make install
  • С использованием сторонних источников (например, EPEL):
    • yum install -y iftop
• Выполнить: iftop
  • Отобразить информацию о портах и IP: iftop -nP

Средняя часть: список внешних подключений, то есть запись того, какие IP подключаются к локальной сети

Правая часть: параметры в реальном времени, которые показывают средний трафик за 2, 10 и 40 секунд для данного IP-подключения к компьютеру

=> представляет отправку данных, <= представляет получение данных

Внизу будут отображаться некоторые глобальные статистические данные, peek — это пиковые значения, cumm — накопленные данные с момента запуска iftop, а rates — общий средний сетевой трафик, полученный или отправленный за последние 2, 10 и 40 секунд.

TX: (отправленный трафик) cumm: 143MB peak: 10.5Mb rates: 1.03Mb 1.54Mb 2.10Mb
RX: (полученный трафик) 12.7GB 228Mb 189Mb 191Mb 183Mb
TOTAL: (общий трафик) 12.9GB 229Mb 190Mb 193Mb 185MbW

• Отключить вход в систему с учётной записью root: vim /etc/ssh/sshd_config
  • Изменить свойство PermitRootLogin с yes на no
• Для повышения безопасности можно рассмотреть возможность отключения входа по паролю и использования ключей SSH: vim /etc/ssh/sshd_config
  • Установить свойство PasswordAuthentication в значение no
• Чтобы ограничить вход с определённых IP-адресов, можно отредактировать файлы hosts.allow и hosts.deny

Материалы

• <http://www.jianshu.com/p/97b9dc47b88c>
• <http://monklof.com/post/10/>
• <http://yafeilee.me/blogs/54be6e876c69341430050000>
• <http://coolnull.com/4174.html>
• <http://www.oicqzone.com/pc/2014110420118.html>