Cara Menentukan Jika Sistem Linux Dikompromikan

Perintah ini akan menampilkan riwayat perintah dengan membaca file .bash-sejarah dalam /rumah folder pengguna itu. Cari dengan hati-hati wget, keriting, atau netcat perintah, jika penyerang menggunakan perintah ini untuk mentransfer file atau menginstal alat repo, seperti penambang kripto atau bot spam.

Perhatikan contoh di bawah ini:

Di atas, Anda dapat melihat perintah “wget https://github.com/sajith/mod-rootme.” Dalam perintah ini, peretas mencoba mengakses file repo yang keluar menggunakan wget untuk mengunduh pintu belakang yang disebut "mod-root me" dan menginstalnya di sistem Anda. Perintah ini dalam riwayat berarti bahwa sistem telah disusupi dan telah di-backdoor oleh penyerang.

Ingat, file ini dapat dengan mudah dikeluarkan atau substansinya diproduksi. Data yang diberikan oleh perintah ini tidak boleh dianggap sebagai kenyataan yang pasti. Namun, jika penyerang menjalankan perintah "buruk" dan mengabaikan untuk mengevakuasi sejarah, itu akan ada di sana.

Pekerjaan Cron

Pekerjaan Cron dapat berfungsi sebagai alat vital ketika dikonfigurasi untuk mengatur shell terbalik pada mesin penyerang. Mengedit pekerjaan cron adalah keterampilan penting, dan begitu juga mengetahui cara melihatnya.

Untuk melihat pekerjaan cron yang berjalan untuk pengguna saat ini, kami akan menggunakan perintah berikut:

Untuk melihat pekerjaan cron yang berjalan untuk pengguna lain (dalam hal ini, Ubuntu), kami akan menggunakan perintah berikut:

Untuk melihat pekerjaan cron harian, per jam, mingguan, dan bulanan, kita akan menggunakan perintah berikut:

Pekerjaan Cron Harian:

Pekerjaan Cron Per Jam:

Pekerjaan Cron Mingguan:

Ambil Contoh:

Penyerang dapat memasukkan pekerjaan cron /etc/crontab yang menjalankan perintah jahat 10 menit lewat setiap jam. Penyerang juga dapat menjalankan layanan jahat atau backdoor shell terbalik melalui netcat atau utilitas lain. Saat Anda menjalankan perintah $~ crontab -l, Anda akan melihat pekerjaan cron berjalan di bawah:

Untuk memeriksa dengan benar apakah sistem Anda telah disusupi, penting juga untuk melihat proses yang berjalan. Ada kasus di mana beberapa proses yang tidak sah tidak menggunakan penggunaan CPU yang cukup untuk dicantumkan di puncak perintah. Di situlah kita akan menggunakan ps perintah untuk menampilkan semua proses yang sedang berjalan.

Kolom pertama menunjukkan pengguna, kolom kedua menunjukkan ID Proses yang unik, dan penggunaan CPU dan memori ditampilkan di kolom berikutnya.

Tabel ini akan memberikan informasi paling banyak kepada Anda. Anda harus memeriksa setiap proses yang berjalan untuk mencari sesuatu yang aneh untuk mengetahui apakah sistem disusupi atau tidak. Jika Anda menemukan sesuatu yang mencurigakan, Google atau jalankan dengan lsof perintah, seperti yang ditunjukkan di atas. Ini adalah kebiasaan yang baik untuk dijalankan ps perintah di server Anda dan itu akan meningkatkan peluang Anda untuk menemukan sesuatu yang mencurigakan atau di luar rutinitas harian Anda.

/etc/passwd

Itu /etc/passwd file melacak setiap pengguna dalam sistem. Ini adalah file yang dipisahkan titik dua yang berisi informasi seperti nama pengguna, userid, kata sandi terenkripsi, GroupID (GID), nama lengkap pengguna, direktori home pengguna, dan shell login.

Jika penyerang meretas sistem Anda, ada kemungkinan dia akan membuat lebih banyak pengguna, untuk memisahkan atau membuat pintu belakang di sistem Anda untuk kembali menggunakan pintu belakang itu. Saat memeriksa apakah sistem Anda telah disusupi, Anda juga harus memverifikasi setiap pengguna di file /etc/passwd. Ketik perintah berikut untuk melakukannya:

Perintah ini akan memberi Anda output yang mirip dengan yang di bawah ini:

Sekarang, Anda ingin mencari pengguna yang tidak Anda sadari. Dalam contoh ini, Anda dapat melihat pengguna dalam file bernama "anonim".Hal penting lainnya yang perlu diperhatikan adalah jika penyerang membuat pengguna untuk masuk kembali, pengguna juga akan memiliki shell “/bin/bash” yang ditetapkan. Jadi, Anda dapat mempersempit pencarian Anda dengan mengambil output berikut:

Anda dapat melakukan beberapa "bash magic" lebih lanjut untuk memperbaiki output Anda.

Temukan

Pencarian berbasis waktu berguna untuk triase cepat. Pengguna juga dapat memodifikasi stempel waktu perubahan file. Untuk meningkatkan keandalan, sertakan ctime dalam kriteria, karena jauh lebih sulit untuk diubah karena memerlukan modifikasi beberapa file level.

Anda dapat menggunakan perintah berikut untuk menemukan file yang dibuat dan dimodifikasi dalam 5 hari terakhir:

Untuk menemukan semua file SUID yang dimiliki oleh root dan untuk memeriksa apakah ada entri yang tidak diharapkan pada daftar, kita akan menggunakan perintah berikut:

Untuk menemukan semua file SGID (set user ID) yang dimiliki oleh root dan memeriksa apakah ada entri yang tidak diharapkan pada daftar, kita akan menggunakan perintah berikut:

Chkrootkit

Rootkit adalah salah satu hal terburuk yang dapat terjadi pada suatu sistem dan merupakan salah satu serangan paling berbahaya, lebih berbahaya daripada malware dan virus,  baik dalam kerusakan yang ditimbulkannya pada sistem maupun kesulitan dalam menemukan dan mendeteksinya.

Mereka dirancang sedemikian rupa sehingga mereka tetap tersembunyi dan melakukan hal-hal jahat seperti mencuri kartu kredit dan informasi perbankan online. Rootkit memberi penjahat dunia maya kemampuan untuk mengontrol sistem komputer Anda. Rootkit juga membantu penyerang untuk memantau penekanan tombol Anda dan menonaktifkan perangkat lunak antivirus Anda, yang membuatnya lebih mudah untuk mencuri informasi pribadi Anda.

Jenis malware ini dapat tetap berada di sistem Anda untuk waktu yang lama tanpa disadari oleh pengguna, dan dapat menyebabkan beberapa kerusakan serius. sekali Rootkit terdeteksi, tidak ada cara lain selain menginstal ulang seluruh sistem. Terkadang serangan ini bahkan dapat menyebabkan kegagalan perangkat keras.

Untungnya, ada beberapa alat yang dapat membantu mendeteksi Rootkit pada sistem Linux, seperti Lynis, Clam AV, atau LMD (Linux Malware Detect). Anda dapat memeriksa sistem Anda untuk mengetahui Rootkit menggunakan perintah di bawah ini.

Pertama, instal Chkrootkit melalui perintah berikut:

Ini akan menginstal Chkrootkit alat. Anda dapat menggunakan alat ini untuk memeriksa Rootkit melalui perintah berikut:

Paket Chkrootkit terdiri dari skrip shell yang memeriksa binari sistem untuk modifikasi rootkit, serta beberapa program yang memeriksa berbagai masalah keamanan. Dalam kasus di atas, paket memeriksa tanda Rootkit pada sistem dan tidak menemukan apapun. Nah, itu pertanda baik!

Log Linux

Log Linux memberikan jadwal kejadian pada kerangka kerja dan aplikasi Linux, dan merupakan instrumen investigasi penting ketika Anda mengalami masalah. Tugas utama yang harus dilakukan admin ketika dia mengetahui bahwa sistem disusupi harus membedah semua catatan log.

Untuk masalah eksplisit aplikasi area kerja, catatan log tetap berhubungan dengan berbagai area. Misalnya, Chrome membuat laporan kerusakan untuk '~/.chrome/Laporan Kerusakan'), di mana aplikasi area kerja menyusun log bergantung pada insinyur, dan menunjukkan apakah aplikasi memperhitungkan pengaturan log kustom. Catatan ada di/var/log direktori. Ada log Linux untuk semuanya: kerangka kerja, porsi, kepala bundel, formulir boot, Xorg, Apache, dan MySQL. Pada artikel ini, tema akan berkonsentrasi secara eksplisit pada log kerangka kerja Linux.

Anda dapat mengubah katalog ini menggunakan pesanan compact disc. Anda harus memiliki izin root untuk melihat atau mengubah file log.

Petunjuk untuk Melihat Log Linux

Gunakan perintah berikut untuk melihat dokumen log yang diperlukan.

Log Linux dapat dilihat dengan perintah cd /var/log, kemudian dengan menulis pesanan untuk melihat log disimpan di bawah katalog ini. Salah satu log yang paling signifikan adalah syslog, yang mencatat banyak log penting.

Untuk membersihkan output, kita akan menggunakan "kurang" perintah.

Ketik perintah var/log/syslog untuk melihat beberapa hal  di bawah file syslog. Berfokus pada masalah tertentu akan memakan waktu, karena catatan ini biasanya akan lama. Tekan Shift+G untuk menggulir ke bawah dalam catatan ke END, ditandai dengan “END.”

Anda juga dapat melihat log melalui dmesg, yang mencetak dukungan cincin bagian. Fungsi ini mencetak semuanya dan mengirim Anda sejauh mungkin di sepanjang dokumen. Sejak saat itu, Anda dapat menggunakan pesanan dmesg | kurang untuk melihat melalui hasil. Jika Anda perlu melihat log untuk pengguna tertentu, Anda harus menjalankan perintah berikut:

Sebagai kesimpulan, Anda dapat menggunakan urutan ekor untuk melihat dokumen log. Ini adalah utilitas kecil namun berguna yang dapat digunakan, karena digunakan untuk menunjukkan bagian terakhir dari log, di mana masalah paling mungkin terjadi. Anda juga dapat menentukan jumlah byte atau baris terakhir untuk ditampilkan di perintah ekor tail. Untuk ini, gunakan perintah ekor /var/log/syslog. Ada banyak cara untuk melihat log.

Untuk jumlah baris tertentu (model mempertimbangkan 5 baris terakhir), masukkan  perintah berikut:

Ini akan mencetak 5 baris terbaru. Ketika jalur lain datang, yang pertama akan dievakuasi. Untuk keluar dari urutan ekor, tekan Ctrl+X.

Log Linux Penting

Empat log Linux utama meliputi:

1. Log aplikasi
2. Log peristiwa
3. Log layanan
4. Log sistem

• /var/log/syslog atau /var/log/pesan: pesan umum, seperti halnya data terkait kerangka kerja. Log ini menyimpan semua informasi tindakan melalui kerangka kerja di seluruh dunia.

• /var/log/auth.catatan atau /var/log/aman: menyimpan log verifikasi, termasuk login dan strategi validasi yang efektif dan gagal. Penggunaan Debian dan Ubuntu /var/log/auth.catatan untuk menyimpan upaya login, sementara Redhat dan CentOS menggunakan /var/log/aman untuk menyimpan log otentikasi.

• /var/log/boot.catatan: berisi info tentang booting dan pesan saat startup.

• /var/log/maillog atau /var/log/mail.catatan: menyimpan semua log yang diidentifikasi dengan server email; berharga ketika Anda membutuhkan data tentang postfix, smtpd, atau administrasi terkait email apa pun yang berjalan di server Anda.

• /var/log/kern: berisi info tentang log kernel. Log ini penting untuk menyelidiki bagian khusus.

• /var/log/dmesg: berisi pesan yang mengidentifikasi driver gadget. Pesan dmesg dapat digunakan untuk melihat pesan dalam catatan ini.

• /var/log/faillog: berisi data tentang semua upaya login yang gagal, berharga untuk mengambil sedikit pengetahuan tentang upaya penetrasi keamanan; misalnya, mereka yang ingin meretas sertifikasi login, seperti serangan kekuatan hewan.

• /var/log/cron: menyimpan semua pesan terkait Cron; pekerjaan cron, misalnya, atau ketika daemon cron memulai panggilan, pesan kekecewaan terkait, dan sebagainya.

• /var/log/yum.catatan: jika Anda memperkenalkan bundel menggunakan urutan yum, log ini menyimpan semua data terkait, yang dapat membantu dalam memutuskan apakah bundel dan semua segmen diperkenalkan secara efektif.

• /var/log/httpd/ atau /var/log/apache2: kedua direktori ini digunakan untuk menyimpan semua jenis log untuk server HTTP Apache, termasuk log akses dan log kesalahan. File error_log berisi semua permintaan buruk yang diterima oleh server http. Kesalahan ini menggabungkan masalah memori dan kesalahan terkait kerangka kerja lainnya. access_log berisi catatan semua permintaan yang diterima melalui HTTP.

• /var/log/mysqld.catatan atau/var/log/mysql.catatan : dokumen log MySQL yang mencatat semua pesan kegagalan, debug, dan sukses. Ini adalah kejadian lain di mana kerangka mengarahkan ke registri; RedHat, CentOS, Fedora, dan kerangka kerja berbasis RedHat lainnya menggunakan/var/log/mysqld.log, sementara Debian/Ubuntu menggunakan /var/log/mysql.katalog log.

Alat untuk melihat Log Linux

Ada banyak pelacak log open source dan perangkat pemeriksaan yang dapat diakses saat ini, sehingga memilih aset yang tepat untuk log tindakan lebih mudah dari yang Anda duga. Pemeriksa Log sumber terbuka dan gratis dapat bekerja pada sistem apa pun untuk menyelesaikan pekerjaan. Berikut adalah lima dari yang terbaik yang saya gunakan di masa lalu, tanpa urutan tertentu.

• GRAYLOG

Dimulai di Jerman pada tahun 2011, Graylog sekarang ditawarkan sebagai perangkat open source atau pengaturan bisnis business. Graylog dimaksudkan untuk menjadi kerangka kerja log-the-board yang disatukan yang menerima aliran informasi dari server atau titik akhir yang berbeda dan memungkinkan Anda untuk membaca dengan teliti atau memecah data itu dengan cepat.

Graylog telah mengumpulkan ketenaran positif di antara kepala kerangka kerja sebagai hasil dari kesederhanaan dan keserbagunaannya. Sebagian besar usaha web dimulai dari sedikit, namun dapat berkembang secara eksponensial. Graylog dapat menyesuaikan tumpukan pada sistem server backend dan menangani beberapa terabyte informasi log setiap hari.

Ketua TI akan melihat ujung depan antarmuka GrayLog mudah digunakan dan kuat dalam kegunaannya. Graylog bekerja di sekitar gagasan dasbor, yang memungkinkan pengguna untuk memilih jenis pengukuran atau sumber informasi yang mereka anggap penting dan dengan cepat mengamati kemiringan setelah beberapa waktu.

Ketika episode keamanan atau eksekusi terjadi, ketua TI harus memiliki opsi untuk mengikuti manifestasi ke driver yang mendasarinya secepat yang dapat diharapkan secara wajar. Fitur pencarian Graylog membuat tugas ini menjadi sederhana. Alat ini telah bekerja dalam adaptasi terhadap kegagalan internal yang dapat menjalankan berbagai usaha sehingga Anda dapat memecah beberapa potensi bahaya bersama-sama.

• NAGIOS

Dimulai oleh pengembang tunggal pada tahun 1999, Nagios telah berkembang menjadi salah satu instrumen open source yang paling solid untuk mengawasi informasi log. Versi nagios saat ini dapat diimplementasikan di server yang menjalankan semua jenis sistem operasi (Linux, Windows, dll.).

Item penting Nagios adalah server log, yang merampingkan berbagai informasi dan membuat data semakin tersedia untuk eksekutif kerangka kerja. Motor server log Nagios akan menangkap informasi secara bertahap dan memasukkannya ke dalam instrumen pencarian yang inovatif. Menggabungkan dengan titik akhir atau aplikasi lain adalah tip sederhana untuk wizard pengaturan yang melekat ini.

Nagios sering digunakan dalam asosiasi yang perlu memantau keamanan lingkungan mereka dan dapat meninjau berbagai peristiwa terkait sistem untuk membantu merobohkan pengiriman peringatan. Nagios dapat diprogram untuk melakukan tugas-tugas tertentu ketika kondisi tertentu terpenuhi, yang memungkinkan pengguna untuk mendeteksi masalah bahkan sebelum kebutuhan manusia disertakan.

Sebagai aspek utama dari evaluasi sistem, Nagios akan menyalurkan informasi log tergantung pada area geografis di mana ia dimulai. Dasbor lengkap dengan inovasi pemetaan dapat diterapkan untuk melihat streaming lalu lintas web.

• LOGALIS

Logalyze memproduksi alat sumber terbuka untuk direktur kerangka kerja atau sys-admin dan spesialis keamanan untuk membantu mereka mengawasi log server dan membiarkan mereka fokus mengubah log menjadi informasi berharga. Item penting alat ini adalah dapat diakses sebagai unduhan gratis untuk penggunaan di rumah atau bisnis.

Item penting Nagios adalah server log, yang merampingkan berbagai informasi dan membuat data semakin tersedia untuk eksekutif kerangka kerja. Motor server log Nagios akan menangkap informasi secara bertahap dan memasukkannya ke dalam instrumen pencarian yang inovatif. Menggabungkan dengan titik akhir atau aplikasi lain adalah tip sederhana untuk wizard pengaturan yang melekat ini.

Nagios sering digunakan dalam asosiasi yang perlu memantau keamanan lingkungan mereka dan dapat meninjau berbagai peristiwa terkait sistem untuk membantu merobohkan pengiriman peringatan. Nagios dapat diprogram untuk melakukan tugas-tugas tertentu ketika kondisi tertentu terpenuhi, yang memungkinkan pengguna untuk mendeteksi masalah bahkan sebelum kebutuhan manusia disertakan.

Sebagai aspek utama dari evaluasi sistem, Nagios akan menyalurkan informasi log tergantung pada area geografis di mana ia dimulai. Dasbor lengkap dengan inovasi pemetaan dapat diterapkan untuk melihat streaming lalu lintas web.

Apa yang Harus Anda Lakukan Jika Anda Telah Dikompromikan??

Hal utama adalah jangan panik, terutama jika orang yang tidak berwenang masuk sekarang. Anda harus memiliki opsi untuk mengambil kembali kendali mesin sebelum orang lain mengetahui bahwa Anda mengetahuinya. Jika mereka tahu Anda mengetahui kehadiran mereka, penyerang mungkin akan menjauhkan Anda dari server dan mulai menghancurkan sistem Anda. Jika Anda tidak terlalu teknis, maka yang harus Anda lakukan adalah segera mematikan seluruh server. Anda dapat mematikan server melalui perintah berikut:

Atau

Cara lain untuk melakukannya adalah dengan masuk ke panel kontrol penyedia hosting Anda dan mematikannya dari sana. Setelah server dimatikan, Anda dapat mengerjakan aturan firewall yang diperlukan dan berkonsultasi dengan siapa pun untuk mendapatkan bantuan di waktu Anda sendiri.

Jika Anda merasa lebih percaya diri dan penyedia hosting Anda memiliki firewall upstream, maka buat dan aktifkan dua aturan berikut:

• Izinkan lalu lintas SSH hanya dari alamat IP Anda.
• Blokir yang lainnya, bukan hanya SSH tetapi setiap protokol yang berjalan di setiap port.

Untuk memeriksa sesi SSH yang aktif, gunakan perintah berikut:

Gunakan perintah berikut untuk mematikan sesi SSH mereka: