Keamanan

Cara Mendeteksi Jika Sistem Linux Anda Telah Diretas

Cara Mendeteksi Jika Sistem Linux Anda Telah Diretas
Ketika ada kecurigaan sistem diretas, satu-satunya solusi aman adalah menginstal semuanya dari awal, terutama jika targetnya adalah server atau perangkat yang berisi informasi yang melebihi privasi pribadi pengguna atau admin.  Namun Anda dapat mengikuti beberapa prosedur untuk mencoba menyadari apakah sistem Anda benar-benar diretas atau tidak.

Instal Intrusion Detection System (IDS) untuk mengetahui apakah sistem telah diretas

Hal pertama yang harus dilakukan setelah dicurigai adanya serangan hacker adalah menyiapkan IDS (Intrusion Detection System) untuk mendeteksi anomali dalam lalu lintas jaringan. Setelah serangan terjadi, perangkat yang disusupi dapat menjadi zombie otomatis di layanan peretas. Jika peretas menetapkan tugas otomatis di dalam perangkat korban, tugas ini kemungkinan akan menghasilkan lalu lintas anomali yang dapat dideteksi oleh Sistem Deteksi Intrusi seperti OSSEC atau Snort yang masing-masing berhak mendapatkan tutorial khusus, berikut ini untuk Anda mulai paling populer:

Selain itu, untuk pengaturan IDS dan konfigurasi yang tepat, Anda harus menjalankan tugas tambahan yang tercantum di bawah ini.

Pantau aktivitas Pengguna untuk mengetahui apakah sistem telah diretas

Jika Anda menduga Anda diretas, langkah pertama adalah memastikan penyusup tidak masuk ke sistem Anda, Anda dapat melakukannya dengan menggunakan perintah “w" atau "siapa”, yang pertama berisi informasi tambahan:

# w

catatan: perintah "w" dan "siapa" mungkin tidak menampilkan pengguna yang masuk dari terminal semu seperti terminal Xfce atau terminal MATE.

Kolom pertama menunjukkan nama pengguna, dalam hal ini linuxhint dan linuxlat dicatat, kolom kedua TTY menunjukkan terminal, kolom DARI menunjukkan alamat pengguna, dalam hal ini tidak ada pengguna jarak jauh tetapi jika ada, Anda dapat melihat alamat IP di sana.  Itu [dilindungi email] kolom menunjukkan waktu login, kolom JCPU merangkum menit dari proses yang dijalankan di terminal atau TTY. itu PCPU menunjukkan CPU yang dikonsumsi oleh proses yang tercantum di kolom terakhir APA. Informasi CPU adalah perkiraan dan tidak tepat.

Sementara w sama dengan mengeksekusi waktu aktif, siapa dan ps -a bersama alternatif lain tetapi kurang informatif adalah perintah “siapa”:

# siapa

Cara lain untuk mengawasi aktivitas pengguna adalah melalui perintah "terakhir" yang memungkinkan untuk membaca file wtmp yang berisi informasi tentang akses masuk, sumber masuk, waktu masuk, dengan fitur untuk meningkatkan acara masuk tertentu, untuk mencoba menjalankannya:

# terakhir

Outputnya menunjukkan nama pengguna, terminal, alamat sumber, waktu login, dan durasi total waktu sesi.

Jika Anda mencurigai tentang aktivitas berbahaya oleh pengguna tertentu, Anda dapat memeriksa riwayat bash, masuk sebagai pengguna yang ingin Anda selidiki dan jalankan perintah sejarah seperti pada contoh berikut:

# su
# sejarah

Di atas Anda dapat melihat riwayat perintah, perintah ini bekerja dengan membaca file ~/.bash_history terletak di rumah pengguna:

# lebih sedikit /rumah//.bash_history

Anda akan melihat di dalam file ini output yang sama daripada saat menggunakan perintah “sejarah”.

Tentu saja file ini dapat dengan mudah dihapus atau kontennya dipalsukan, informasi yang diberikan olehnya tidak boleh dianggap sebagai fakta, tetapi jika penyerang menjalankan perintah "buruk" dan lupa menghapus riwayatnya, itu akan ada di sana.

Memeriksa lalu lintas jaringan untuk mengetahui apakah sistem telah diretas

Jika seorang peretas melanggar keamanan Anda, ada kemungkinan besar dia meninggalkan pintu belakang, cara untuk kembali, skrip yang mengirimkan informasi tertentu seperti spam atau menambang bitcoin, pada tahap tertentu jika dia menyimpan sesuatu di sistem Anda untuk berkomunikasi atau mengirim informasi apa pun, Anda harus dapat melihatnya dengan memantau lalu lintas Anda mencari aktivitas yang tidak biasa.

Untuk memulai mari kita jalankan perintah iftop yang tidak ada pada instalasi standar Debian secara default. Di situs resminya Iftop digambarkan sebagai "perintah teratas untuk penggunaan bandwidth".

Untuk menginstalnya di Debian dan distribusi Linux berbasis jalankan:

# tepat instal iftop

Setelah diinstal jalankan dengan sudo:

# sudo iftop -i

Kolom pertama menunjukkan localhost, dalam hal ini montsegur, => dan <= indicates if traffic  is incoming or outgoing, then the remote host, we can see some hosts addresses, then the bandwidth used by each connection.

Saat menggunakan iftop tutup semua program yang menggunakan lalu lintas seperti browser web, messenger, untuk membuang sebanyak mungkin koneksi yang disetujui untuk menganalisis apa yang tersisa, mengidentifikasi lalu lintas yang aneh tidaklah sulit.

Perintah netstat juga merupakan salah satu opsi utama saat memantau lalu lintas jaringan. Perintah berikut akan menampilkan port mendengarkan (l) dan aktif (a).

#netstat -la

Anda dapat menemukan informasi lebih lanjut tentang netstat di  Cara memeriksa port terbuka di Linux.

Memeriksa proses untuk mengetahui apakah sistem telah diretas

Di setiap OS ketika ada yang tidak beres, salah satu hal pertama yang kami cari adalah proses untuk mencoba mengidentifikasi yang tidak dikenal atau sesuatu yang mencurigakan.

# atas

Berlawanan dengan virus klasik, teknik peretasan modern mungkin tidak menghasilkan paket besar jika peretas ingin menghindari perhatian. Periksa perintah dengan hati-hati dan gunakan perintah lsof  -p untuk proses yang mencurigakan. Perintah lsof memungkinkan untuk melihat file apa yang dibuka dan proses terkaitnya.

# lsof  -p

Proses di atas 10119 termasuk dalam sesi bash.

Tentu saja untuk memeriksa proses ada perintah ps terlalu.

# ps -axu

Output ps -axu di atas menunjukkan pengguna di kolom pertama (root), ID Proses (PID), yang unik, penggunaan CPU dan memori oleh setiap proses, memori virtual dan ukuran set penduduk, terminal, status proses, waktu mulainya dan perintah yang memulainya.

Jika Anda mengidentifikasi sesuatu yang tidak normal, Anda dapat memeriksa dengan lsof dengan nomor PIDID.

Memeriksa sistem Anda untuk infeksi Rootkit:

Rootkit adalah salah satu ancaman paling berbahaya untuk perangkat jika tidak lebih buruk, setelah rootkit terdeteksi tidak ada solusi lain selain menginstal ulang sistem, terkadang rootkit bahkan dapat memaksa penggantian perangkat keras. Untungnya ada perintah sederhana yang dapat membantu kita untuk mendeteksi rootkit yang paling dikenal, perintah chkrootkit (periksa rootkit).

Untuk menginstal Chkrootkit pada Debian dan distribusi Linux berbasis jalankan:

# tepat menginstal chkrootkit


Setelah diinstal, jalankan saja:

# sudo chkrootkit


Seperti yang Anda lihat, tidak ada rootkit yang ditemukan di sistem.

Saya harap Anda menemukan tutorial tentang Cara Mendeteksi Jika Sistem Linux Anda Telah Diretas” bermanfaat.

Mouse Cara Menggunakan Xdotool untuk Merangsang Klik Mouse dan Keystroke di Linux
Cara Menggunakan Xdotool untuk Merangsang Klik Mouse dan Keystroke di Linux
Xdotool adalah alat baris perintah sumber terbuka dan gratis untuk mensimulasikan klik mouse dan penekanan tombol. Artikel ini akan membahas panduan s...
Mouse 5 Produk Mouse Komputer Ergonomis Terbaik untuk Linux
5 Produk Mouse Komputer Ergonomis Terbaik untuk Linux
Apakah penggunaan komputer yang lama menyebabkan rasa sakit di pergelangan tangan atau jari Anda?? Apakah Anda menderita persendian yang kaku dan teru...
Mouse Cara Mengubah Pengaturan Mouse dan Touchpad Menggunakan Xinput di Linux
Cara Mengubah Pengaturan Mouse dan Touchpad Menggunakan Xinput di Linux
Sebagian besar distribusi Linux dikirimkan dengan pustaka "libinput" secara default untuk menangani kejadian input pada sistem. Ini dapat memproses ke...