Comment détecter si votre système Linux a été piraté
Installez un système de détection d'intrusion (IDS) pour savoir si le système a été piraté
La première chose à faire après la suspicion d'une attaque de pirate est de configurer un IDS (système de détection d'intrusion) pour détecter les anomalies dans le trafic réseau. Une fois une attaque. Si le pirate a défini des tâches automatiques dans l'appareil de la victime, ces tâches sont susceptibles de produire un trafic anormal qui peut être détecté par des systèmes de détection d'intrusion tels que Ossec ou Snort qui méritent un tutoriel dédié chacun, nous avons ce qui vous suit pour vous lancer avec le le plus populaire:
- Configurer les identifiants de snort et créer des règles
- Début avec OSSEC (Système de détection d'intrusion)
- Alerte de reniflement
- Installation et utilisation du système de détection d'intrusion SNORT pour protéger les serveurs et les réseaux
De plus, à la configuration des IDS et à la configuration appropriée, vous devrez exécuter des tâches supplémentaires énumérées ci-dessous.
Surveillez l'activité des utilisateurs pour savoir si le système a été piraté
Si vous pensez que vous avez été piraté, la première étape consiste à vous assurer que l'intrus n'est pas connecté à votre système, vous pouvez le réaliser en utilisant des commandes "w" ou "OMS», Le premier contient des informations supplémentaires:
# w
Note: Les commandes «W» et «Who» ne peuvent pas afficher les utilisateurs enregistrés à partir de pseudo terminaux comme le terminal XFCE ou le terminal de Mate.
La première colonne montre le nom d'utilisateur, Dans ce cas, Linuxhint et Linuxlat sont enregistrés, la deuxième colonne Tty montre le terminal, la colonne DEPUIS affiche l'adresse utilisateur, dans ce cas, il n'y a pas d'utilisateurs distants, mais s'ils pouvaient y voir des adresses IP là-bas. Le CONNEXION@ la colonne affiche l'heure de connexion, la colonne JCPU résume les procès-verbaux exécutés dans le terminal ou le tty. le PCPU affiche le processeur consommé par le processus répertorié dans la dernière colonne QUOI. Les informations CPU sont estimatives et non exactes.
Alors que w équivaut à l'exécution durée de la baisse, OMS et ps -a Ensemble, une autre alternative mais moins informative est la commande "OMS»:
# OMS
Une autre façon de superviser l'activité des utilisateurs est via la commande «dernier» qui permet de lire le fichier WTMP qui contient des informations sur l'accès à la connexion, la source de connexion, le temps de connexion, avec des fonctionnalités pour améliorer les événements de connexion spécifiques, pour l'essayer:
# dernier
La sortie montre le nom d'utilisateur, le terminal, l'adresse source, le temps de connexion et la durée totale de session.
Si vous vous soupçonnez une activité malveillante par un utilisateur spécifique, vous pouvez vérifier l'historique des bash, connectez-vous en tant qu'utilisateur que vous souhaitez enquêter et exécuter la commande histoire Comme dans l'exemple suivant:
# su
# histoire
Ci-dessus, vous pouvez voir l'histoire des commandes, ces commandes fonctionnent en lisant le fichier ~ /.bash_history Situé dans la maison des utilisateurs:
# moins / maison // /.bash_history
Vous verrez à l'intérieur de ce fichier la même sortie que lors de l'utilisation de la commande "histoire".
Bien sûr, ce fichier peut être facilement supprimé ou son contenu a été forgé, les informations fournies par celles-ci ne doivent pas être considérées comme un fait, mais si l'attaquant a exécuté une «mauvaise» commande et oublié de supprimer l'historique, il sera là.
Vérification du trafic réseau pour savoir si le système a été piraté
Si un pirate a violé votre sécurité, il y a de grandes probabilités, il a laissé une porte dérobée, un moyen de revenir, un script fournissant des informations spécifiées comme le spam ou l'extraction de bitcoins, à un moment donné s'il gardait quelque chose dans votre système communiquant ou envoyant des informations que vous devez être capable de le remarquer en surveillant votre trafic à la recherche d'une activité inhabituelle.
Pour commencer, exécutons la commande iftop qui ne vient pas sur l'installation standard de Debian par défaut. Sur son site officiel, Iftop est décrit comme «la première commande pour l'utilisation de la bande passante».
Pour l'installer sur Debian et les distributions Linux basées exécutées:
# apt install iftop
Une fois installé, exécutez-le avec Sudo:
# sudo iftop -i
La première colonne montre le localhost, dans ce cas Montsegur, => et <= indicates if traffic is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.
Lorsque vous utilisez IFTOP, fermez tous les programmes à l'aide de trafic comme les navigateurs Web, les messagers, afin de jeter autant de connexions approuvées que possible pour analyser ce qui reste, l'identification du trafic étrange n'est pas difficile.
La commande netstat est également l'une des principales options lors de la surveillance du trafic réseau. La commande suivante affichera les ports d'écoute (l) et actifs (a).
# netStat -LA
Vous pouvez trouver plus d'informations sur Netstat sur la façon de vérifier les ports ouverts sur Linux.
Vérification des processus pour savoir si le système a été piraté
Dans chaque système d'exploitation, quand quelque chose semble mal tourner l'une des premières choses que nous recherchons sont les processus pour essayer d'identifier un inconnu ou quelque chose de suspect.
# haut
Contrairement aux virus classiques, une technique de piratage moderne peut ne pas produire de gros paquets si le pirate veut éviter l'attention. Vérifiez soigneusement les commandes et utilisez la commande lsof -p Pour les processus suspects. La commande LSOF permet de voir quels fichiers sont ouverts et leurs processus associés.
# lsof -p
Le processus supérieur à 10119 appartient à une session bash.
Bien sûr, pour vérifier les processus, il y a la commande ps aussi.
# ps -axu
La sortie PS -Axu ci-dessus montre l'utilisateur dans la première col (root), l'ID de processus (PID), qui est unique, le processeur et l'utilisation de la mémoire par chaque processus, la mémoire virtuelle et la taille de l'ensemble résident, le terminal, l'état de processus, son heure de début et la commande qui l'a commencé.
Si vous identifiez quelque chose d'anormal, vous pouvez vérifier auprès de LSOF avec le numéro PID.
Vérification de votre système pour les infections à rootkits:
Rootkits sont parmi les menaces les plus dangereuses pour les appareils sinon les pires, une fois qu'un rootkit a été détecté, il n'y a pas d'autre solution que de réinstaller le système, parfois un rootkit peut même forcer un remplacement matériel. Heureusement, il existe une commande simple qui peut nous aider à détecter les rootkits les plus connus, la commande chkrootkit (vérifiez les rootkits).
Pour installer Chkrootkit sur Debian et les distributions Linux basées sur l'exécution:
# apt installer chkrootkit
Une fois installé, exécutez simplement:
# sudo chkrootkit
Comme vous le voyez, aucun rootkits n'a été trouvé sur le système.
J'espère que vous avez trouvé ce tutoriel sur la façon de détecter si votre système Linux a été piraté ».