Многие говорят про логи, а на что конкретно обращать внимание. Если логи большие как можно вычленить нужное?
1.) Ищем файлы с завышенными правами доступа,нестандартные для Linux,
скрипты,пытающиеся запуститься от суперпользователя.
sudo find / -perm -u+s -ищем сет юзер айди бит.
Здесь смотрим,чтобы не оказалось помимо знакомых уже сторонних программ.
sudo find / -user root -perm -u+s -Тревогу надо бить ,если на выведенных файлах
также будет стоять u+s
sudo find / -user root -perm + 4000 -вывод в цифровом эквиваленте
+4000 -это и есть юзер бит.
sudo find / -perm -g+s -ищем для групп.
sudo ls -l/usr/bin/ файл -так смотрим права у конкретного файла
Если в консоли он подсвечивается жёлтым цветом-значит,всё нормально.
sudo find / -group root -perm -g+s - ищем группу с завышенными правами.
sudo find / -perm/u+s,g+s - так ищем и группы, и отдельные файлы.
2.) Проверяем теневые пароли
sudo cat /etc/passwd - выводит список пользователей и их пароли
Где указан х -это теневой пароль
sudo /etc/nologin - хорошо,если нет такого файла,если есть-беда
Сами такой создаём только в крайнем случае.Смысл такой:в систему никто,
кроме суперпольз-ля войти не может.Люди работают с сервером,заходит суперюзер-всех выкидывает,
сами потом тоже можем не зайти,будет постоянно запрашиваться пароль.
3.) sudo nmap local host -проверяем запущенные службы.
4.) cd /etc/init.d/,далее ls - проверяем скрипты.
sudo systemtcl disable назв_службы - тормозим скрипт если надо.
Причём это считается "человеческим отключением" вместо команд stop.
5.) sudo netstat -tuna - выведем все открытые порты tcp udp без служб
6.) nmap , проверяем сами себя,какие порты торчат наружу.
7.) sudo lsof -list open files - выводим открытые файлы.
8.) sudo lsof -i - смотрим все открытые соединения,здесь же
увидим какой пользователь использует протокол,описание файла,его права.
Полезно для поиска файлов,занятых конкретным процессом.
Например:sudo lsof -c назв_проги - увидим всё,что она использует.
Какие файлы открыты конкретным пользователем.
9.) sudo lsof -i : номер_порта - увидим,какие демоны и интерфейсы используют этот порт.
10.) Часто требуется и обратный ход в отличии от п.9 -поиск процесса ,который занимает
файл или сокет.Для этого используется утилита fuser,она покажет польз-ля,pid,доступ.
sudo fuser номер_порта /tcp ,например. Покажет процесс с id
ps номер_id -выскочит служба,которая использует этот порт.
11.) Смотрим кто входил/пытался войти в систему.
Windows- смотрим в диспетчере задач
Linux - применяем утилиты w,who,last,lastb,users.
w -когда была загружена,сколько открыто интерфейсов,кто в системе.Здесь же
смотрим jcpu -это время которое использовано всеми процессами.
pcpu - время , использ.конкретным процессом.
w имя_пользователя - так можно смотреть по конкретному польз-лю.
who -b - когда была последняя загрузка системы.
who -qH -все логины с паролями что сейчас в системе.
who -uH -кто вошёл,время,порты.
who -aH - отвечает на вопрос кто,где,когда.
users - проверяем всех пользователей в системе.
last - последние логины , кто и когда входил.
last reboot - когда система перезагружалась
lastb - здесь неудачные попытки входа в систему,пытался подобрать пароль.
12.) cd /var/log ,далее ls - здесь все файлы btmp
13.) cd /var/run - ls - здесь все файлы utmp.
Можно и так,если нет времени копаться в /var/log/syslog
Напишите,если не получится что-либо выяснить , то будем ещё думать.
