আমি কীভাবে জানব যে আমার লিনাক্স সার্ভারটি হ্যাক হয়েছে?

লিনাক্স সার্ভার হ্যাক হয়ে গেছে বলে টেল-টেল লক্ষণগুলি কী কী? এমন কোনও সরঞ্জাম রয়েছে যা নির্ধারিত ভিত্তিতে একটি নিরীক্ষা প্রতিবেদন তৈরি এবং ইমেল করতে পারে?

1. সমালোচনামূলক সিস্টেম ফাইলগুলির একটি প্রাথমিক অনুলিপি (যেমন এলএস, পিএস, নেটস্যাট, এমডি 5সাম) কোথাও রাখুন এবং সেগুলির একটি এমডি 5সাম রেখে নিয়মিতভাবে লাইভ সংস্করণগুলির সাথে তাদের তুলনা করুন। রুটকিটগুলি এই ফাইলগুলিকে অবিচ্ছিন্নভাবে সংশোধন করবে। যদি আপনার সন্দেহ হয় যে মূলগুলি আপোস করা হয়েছে।
2. সহায়তাকারী বা ট্রিপওয়ায়ার আপনাকে যে কোনও ফাইল সংশোধন করা হয়েছে সে সম্পর্কে বলবে - ধরে নিই যে তাদের ডেটাবেসগুলিতে কোনও ছলচাতুরী হয়নি।
3. আপনার লগফিলগুলি একটি দূরবর্তী লগ সার্ভারে প্রেরণের জন্য সিসলগটি কনফিগার করুন যেখানে কোনও অনুপ্রবেশকারী দ্বারা তাদের সাথে টেম্পার করতে পারে না। সন্দেহজনক ক্রিয়াকলাপের জন্য এই দূরবর্তী লগফাইলগুলি দেখুন
4. আপনার লগ পড়া নিয়মিতভাবে - ব্যবহারের logwatch বা logcheck সমালোচনামূলক তথ্য সমন্বয় করতে।
5. আপনার সার্ভারগুলি জানুন । কী ধরণের ক্রিয়াকলাপ এবং লগগুলি সাধারণ তা জেনে নিন।

আপনি না।

আমি জানি, তবে আমি জানি - তবে এটি অদ্ভুত, দুঃখজনক সত্য, সত্যই;) প্রচুর ইঙ্গিত রয়েছে অবশ্যই, তবে যদি সিস্টেমটি নির্দিষ্টভাবে লক্ষ্যবস্তু হয় - তবে এটি বলা অসম্ভব হতে পারে। এটি বোঝা ভাল যে কিছুই কখনই পুরোপুরি সুরক্ষিত হয় না। তবে আমাদের আরও সুরক্ষিত হওয়ার জন্য কাজ করা দরকার, সুতরাং আমি এর পরিবর্তে অন্যান্য সমস্ত উত্তরগুলিতে ইঙ্গিত করব;)

যদি আপনার সিস্টেমের সাথে আপোস করা হয়ে থাকে তবে সত্য প্রকাশের জন্য আপনার সিস্টেম সরঞ্জামগুলির কোনওটিতেই বিশ্বাস করা যায় না।

ট্রিপওয়ায়ার একটি সাধারণ ব্যবহৃত সরঞ্জাম - সিস্টেম ফাইলগুলি পরিবর্তিত হলে এটি আপনাকে জানিয়ে দেয়, যদিও স্পষ্টতই আপনার এটি আগে ইনস্টল করা দরকার। অন্যথায় আইটেম যেমন আপনি জানেন না এমন নতুন ব্যবহারকারীর অ্যাকাউন্ট, অদ্ভুত প্রক্রিয়া এবং আপনি যে ফাইলগুলি চিনতে পারবেন না বা কোনও আপাত কারণ ছাড়াই ব্যান্ডউইথের ব্যবহার বাড়ানো হ'ল এটি স্বাভাবিক লক্ষণ।

/ ইত্যাদি / পাসডাব্লুডি যেমন ফাইলগুলি পরিবর্তন করা হয় তখন জব্বিক্সের মতো অন্যান্য মনিটরিং সিস্টেমগুলি আপনাকে সতর্ক করতে কনফিগার করা যেতে পারে।

কিছু জিনিস যা আমাকে অতীতে বন্ধ করে দিয়েছে:

• নিষ্ক্রিয় হওয়া উচিত এমন একটি সিস্টেমে উচ্চ লোড
• অদ্ভুত সেগফোল্টস, যেমন। স্ট্যান্ডার্ড ইউটিলিটিগুলি ls( যেমন ভাঙা রুট কিটগুলির সাথে এটি ঘটতে পারে) থেকে
• /বা লুকানো ডিরেক্টরিগুলি /var/(বেশিরভাগ স্ক্রিপ্টের কিডিগুলি খুব বোকা বা তাদের ট্র্যাকগুলি coverাকতে অলস হয়)
• netstat খোলা পোর্টগুলি দেখায় যা সেখানে থাকা উচিত নয়
• প্রক্রিয়া তালিকার ডেমোনস যা আপনি সাধারণত বিভিন্ন স্বাদ ব্যবহার করেন (যেমন bind, তবে আপনি সর্বদা ব্যবহার করেন djbdns)

অতিরিক্তভাবে আমি এটির একটি নির্ভরযোগ্য চিহ্ন খুঁজে পেয়েছি যে একটি বাক্সে আপস করা হয়েছে: আপনি যদি অ্যাডমিনের কাছ থেকে কোনও সিস্টেম উত্তরাধিকার সূত্রে পেয়েছেন সে সম্পর্কে অধ্যবসায় (আপডেট ইত্যাদি) সম্পর্কে আপনার যদি খারাপ ধারণা থাকে তবে তার দিকে নজর রাখুন!

এর মাধ্যমে হ্যাক সার্ভারগুলি পরীক্ষা করার একটি পদ্ধতি রয়েছে kill-

মূলত, আপনি "কিল -0 $ পিআইডি" চালানোর সময় আপনি সনাক্তকারী $ পিআইডি প্রসেস করার জন্য কোনও নোপ সিগন্যাল প্রেরণ করছেন। যদি প্রক্রিয়াটি চলমান থাকে তবে কিল কমান্ডটি স্বাভাবিকভাবে প্রস্থান করবে। (এফডাব্লুআইডাব্লু, যেহেতু আপনি কোনও কুপ কিল সংকেত পেরিয়ে যাচ্ছেন, প্রক্রিয়াটির কিছুই হবে না)। যদি কোনও প্রক্রিয়া চলমান না থাকে তবে কিল কমান্ড ব্যর্থ হবে (প্রস্থানের শূন্যের চেয়ে কম)।

যখন আপনার সার্ভারটি হ্যাক হয়ে যায় / একটি রুটকিট ইনস্টল করা হয়, তখন এটির প্রথমটিগুলির মধ্যে একটি হ'ল কার্নেলটিকে প্রক্রিয়া টেবিলগুলি থেকে আক্রান্ত প্রক্রিয়াগুলি আড়াল করতে বলা হয় ker প্রক্রিয়া। এবং তাই এর অর্থ এই

ক) এই চেকটি কোনও বিস্তৃত চেক নয়, যেহেতু ভাল কোডেড / বুদ্ধিমান রুটকিটগুলি নিশ্চিত করবে যে কার্নেল একটি "প্রক্রিয়াটি বিদ্যমান নেই" জবাব দিয়ে এই চেকটিকে অপ্রয়োজনীয় বলে জবাব দেবে। খ) যে কোনও উপায়ে হ্যাক করা সার্ভারে যখন "খারাপ" প্রক্রিয়া চলমান থাকে, তখন এটি পিআইডি সাধারণত / প্রোকের অধীনে প্রদর্শিত হবে না।

সুতরাং , আপনি এখন অবধি যদি এখানে থাকেন তবে পদ্ধতিটি হ'ল সিস্টেমের প্রতিটি উপলভ্য প্রক্রিয়া -1 (1 -> / proc / sys / কার্নেল / পিড_ম্যাক্স থেকে যে কোনও কিছু) নিখুঁত করা এবং দেখুন যে কোনও প্রক্রিয়া চলছে কি না তবে রিপোর্ট করা হয়নি ইন / প্রোক

যদি কিছু প্রক্রিয়া চলমান হিসাবে উপস্থিত হয়, তবে / প্রোকে রিপোর্ট করা না হয়ে থাকে, সম্ভবত আপনি যেভাবেই দেখুন তাতে কোনও সমস্যা হয়।

এখানে একটি বাশ স্ক্রিপ্ট যা এগুলি কার্যকর করে - https://gist.github.com/1032229 । এটি কোনও ফাইলে সংরক্ষণ করুন এবং এটি সম্পাদন করুন, আপনি যদি এমন কোনও প্রক্রিয়া আবিষ্কার করেন যা প্রোপ-তে অ-প্রতিবেদনিত আসে, আপনার খনন শুরু করার জন্য কিছু সীসা থাকা উচিত।

আছে HTH।

আমি এখানে দেওয়া প্রতিক্রিয়াগুলিকে দ্বিতীয় করব এবং আমার নিজের একটি যুক্ত করব।

find /etc /var -mtime -2

যদি আপনার প্রধান সার্ভার ফাইলগুলি গত 2 দিনে পরিবর্তিত হয় তবে এটি আপনাকে দ্রুত ইঙ্গিত দেবে।

এটি হ্যাক সনাক্তকরণ সম্পর্কিত একটি নিবন্ধ থেকে আপনার সার্ভার হ্যাক হয়েছে কিনা তা কীভাবে সনাক্ত করতে হবে।

থেকে আমি কিভাবে আমার সার্ভারে অবাঞ্ছিত অনুপ্রবেশের দিয়ে ধরা যায়?

• একটি আইডি ব্যবহার করুন

  SNORT® একটি ওপেন সোর্স নেটওয়ার্ক অনুপ্রবেশ প্রতিরোধ এবং সনাক্তকরণ সিস্টেম যা নিয়ম-চালিত ভাষা ব্যবহার করে, যা স্বাক্ষর, প্রোটোকল এবং অ্যানোমালি ভিত্তিক পরিদর্শন পদ্ধতির সুবিধার সাথে মিলিত হয়। আজ অবধি কয়েক মিলিয়ন ডাউনলোডের সাথে, স্নর্ট হ'ল বিশ্বব্যাপী সর্বাধিক বহনযোগ্য অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ প্রযুক্তি এবং এটি শিল্পের জন্য ডি স্টক স্ট্যান্ডার্ডে পরিণত হয়েছে।

  স্নর্ট নেটওয়ার্ক ট্র্যাফিক পড়ে এবং "পেন টেস্ট ড্রাইভ" এর মতো জিনিসগুলি সন্ধান করতে পারে যেখানে কেউ আপনার সার্ভারগুলির বিরুদ্ধে পুরো মেটাস্পপ্লিট স্ক্যান চালায়। আমার মতে এই ধরণের জিনিসগুলি জেনে রাখা ভাল।

• লগগুলি ব্যবহার করুন ...

  আপনার ব্যবহারের উপর নির্ভর করে আপনি এটি সেট আপ করতে পারেন যাতে আপনি জানতে পারবেন যে কোনও ব্যবহারকারী কখনই লগইন করে, বা বিজোড় আইপি থেকে লগ ইন করে, বা যখনই রুট লগ ইন করে বা যখনই কেউ লগ ইন করার চেষ্টা করে। আমার কাছে সার্ভারটি আসলে ডাবগের চেয়ে প্রতিটি লগ বার্তাটি আমাকে ইমেল করে । হ্যাঁ, এমনকি বিজ্ঞপ্তি। আমি অবশ্যই তাদের মধ্যে কিছু ফিল্টার করি, তবে প্রতি সকালে যখন আমি স্টাফ সম্পর্কে 10 টি ইমেল পাই তা আমাকে এটি ঠিক করতে চায় যাতে এটি হওয়া বন্ধ হয়ে যায়।

• আপনার কনফিগারেশনটি পর্যবেক্ষণ করুন - আমি আসলে আমার সম্পূর্ণ / ইত্যাদি সাবভার্শনে রাখি যাতে আমি সংশোধনগুলি ট্র্যাক করতে পারি।

• স্ক্যান চালান। লিনিস এবং রুটকিট হান্টারের মতো সরঞ্জামগুলি আপনাকে আপনার অ্যাপ্লিকেশনগুলির সম্ভাব্য সুরক্ষা গর্তগুলির জন্য সতর্কতা দিতে পারে। এমন প্রোগ্রাম রয়েছে যা আপনার সমস্ত বিনয়ের একটি হ্যাশ বা হ্যাশ গাছ বজায় রাখে এবং আপনাকে পরিবর্তনের জন্য সতর্ক করতে পারে।

• আপনার সার্ভারটি পর্যবেক্ষণ করুন - যেমন আপনি ডিস্কস্পেসের কথা উল্লেখ করেছেন - কিছু অস্বাভাবিক হলে গ্রাফগুলি আপনাকে একটি ইঙ্গিত দিতে পারে। আমি ব্যবহার cacti CPU- র, নেটওয়ার্ক ট্রাফিক, ডিস্ক স্পেস তাপমাত্রা, ইত্যাদি উপর নজর রাখতে যদি কিছু সৌন্দর্য বিজোড় এটা হয় অদ্ভুত এবং আপনি খুঁজে বের করা উচিত কেন এটা অদ্ভুত।

আমি কেবল এটিতে যুক্ত করতে চাই:

আপনার বাশ ইতিহাস পরীক্ষা করুন, যদি এটি খালি হয় এবং আপনি এটি সেট না করে বা খালি করে না ফেলেছেন তবে আপনার সার্ভারের সাথে কেউ আপস করেছে এমন সম্ভাবনা রয়েছে।

শেষ পরীক্ষা করুন। হয় আপনি অজানা আইপি দেখতে পাবেন বা এটি খুব ফাঁকা দেখতে পাবেন।

তারপরে গৃহীত উত্তর হিসাবে বলা হয়েছে, সিস্টেম ফাইলগুলি প্রায়শই পরিবর্তিত হয়, পরিবর্তিত তারিখটি পরীক্ষা করে দেখুন। তবে তারা প্রায়শই পরিবর্তিত তারিখের সাথে হস্তক্ষেপ করে।

এগুলি প্রায়শই একটি এলোমেলো বন্দরে চলমান ssh এর অন্য সংস্করণ ইনস্টল করে। এটি প্রায়শই কিছু সত্যই অদ্ভুত জায়গায় লুকানো থাকে। নোট করুন এটি সাধারণত ssh ব্যতীত অন্য কিছুতে নামকরণ করা হবে। সুতরাং নেটস্যাটটি পরীক্ষা করুন (তারা প্রায়শই এটি প্রতিস্থাপন করার কারণে কাজ নাও করতে পারে) এবং কোনও অজানা বন্দর অবরুদ্ধ করার জন্য iptables ব্যবহার করুন।

যাই হোক না কেন, এটি এমন একটি পরিস্থিতি যেখানে প্রতিরোধ নিরাময়ের চেয়ে ভাল। যদি আপনার সাথে আপস করা হয় তবে কেবল ফর্ম্যাট করে আবার শুরু করা ভাল। আপনি সফলভাবে হ্যাকটি পরিষ্কার করেছেন তা নিশ্চিত করা প্রায় অসম্ভব।

আপনার সার্ভারকে আপস করা থেকে বিরত রাখতে নিম্নলিখিত নোটগুলি নোট করুন।

1. এসএস পোর্ট পরিবর্তন করুন
2. লগ ইন করতে সক্ষম হতে রুটকে আটকাবেন
3. শুধুমাত্র নির্দিষ্ট ব্যবহারকারীদের অনুমতি দিন
4. পাসওয়ার্ড লগইন প্রতিরোধ
5. Ssh কী, পছন্দসই পাসওয়ার্ড সুরক্ষিত কী ব্যবহার করুন
6. যেখানে সম্ভব সমস্ত আইপি-র কালো তালিকাভুক্ত করুন এবং প্রয়োজনীয় আইপিএসকে সাদা তালিকাভুক্ত করুন।
7. ব্যর্থ 2ban ইনস্টল এবং কনফিগার করুন
8. অনুপ্রবেশ সনাক্ত করতে ট্রিপওয়্যার ব্যবহার করুন
9. নাগিওস বা জাবিবিক্সের সাহায্যে লগ ইন করা ব্যবহারকারীদের সংখ্যা পর্যবেক্ষণ করুন। এমনকি আপনি লগইন প্রতিবার অবগত হয়ে গেলেও, কমপক্ষে আপনি যখন জানতে পারবেন যে অন্য কেউ কখন খেলছেন।
10. সম্ভব হলে আপনার সার্ভারটি একটি ভিপিএন-এ রাখুন, এবং কেবল ভিপিএন আইপি-র মাধ্যমে এসএসএসের অনুমতি দিন। আপনার ভিপিএন সুরক্ষিত করুন।

এটি একবার খেয়াল করার সময় মূল্যবান যে একবার তারা একটি সার্ভারে গেলে তারা আপনার বাশার ইতিহাসটি পরীক্ষা করে দেখবে এবং সেই সার্ভার থেকে ssh এর মাধ্যমে আপনি সংযুক্ত অন্যান্য সার্ভারগুলি সন্ধান করবেন। এরপরে তারা সেই সার্ভারগুলিতে সংযোগ দেওয়ার চেষ্টা করবে। সুতরাং যদি আপনি দুর্বল পাসওয়ার্ডের কারণে জোর করে জবরদস্তি হন তবে খুব সম্ভবত তারা অন্যান্য সার্ভারের সাথে সংযোগ করতে সক্ষম হবেন এবং সেগুলিও আপস করতে পারবেন।

এটি একটি কুরুচিপূর্ণ বিশ্বের বাইরে, আমি পুনরুক্তি প্রতিকার থেকে নিরাময় ভাল।

কিছুটা অনুসন্ধান করার পরে, এটি এখানেও রয়েছে, যা আমি উপরে কিছু তালিকাবদ্ধ করেছি যা অন্য কিছু সামগ্রীর মধ্যে রয়েছে: http://www.chkrootkit.org/ এবং http://www.rootkit.nl/projects/rootkit_hunter.html

আপনার গার্ডরেল পরীক্ষা করা উচিত। এটি আপনার সার্ভারকে প্রতিদিন স্ক্যান করতে পারে এবং একটি সুন্দর চাক্ষুষ উপায়ে কী পরিবর্তন হয়েছে তা আপনাকে বলতে পারে। এটির জন্য এজেন্টের প্রয়োজন হয় না এবং এসএসএইচের সাথে সংযোগ স্থাপন করতে পারে যাতে এজেন্টের সাথে আপনার মেশিন এবং সংস্থানগুলি জঞ্জাল করার প্রয়োজন হয় না।

সর্বোপরি, এটি 5 টি সার্ভারের জন্য বিনামূল্যে।

এটি এখানে দেখুন:

https://www.scriptrock.com/