in

Πώς να ελέγξετε εάν ο διακομιστής σας Linux έχει παραβιαστεί

Οι διακομιστές Linux SSH, ειδικότερα, ξεχωρίζουν στους κυβερνοεπιτιθέμενους. Η ικανότητά τους να παρέχουν απομακρυσμένη πρόσβαση στη γραμμή εντολών τους τοποθετεί ως βασικούς αγωγούς για τον έλεγχο και τη διαχείριση λειτουργιών διακομιστή.

Κατά συνέπεια, αυτή η απομακρυσμένη πρόσβαση τα ορίζει ως πολύτιμα σημεία εισόδου για όσους σκοπεύουν να εκμεταλλευτούν ή να διακυβεύσουν κρίσιμες υπηρεσίες.

Οι διαχειριστές διακομιστών μπορούν να εκτελούν ενημερώσεις, να εφαρμόζουν ενημερώσεις κώδικα και να χρησιμοποιούν λιγότερες τυπικές θύρες για να αποτρέψουν τους χάκερ, αλλά πώς μπορείτε να καταλάβετε εάν ο εχθρός είναι προ των πυλών;

Εντοπίστε τα σημάδια του Hack

Πολλά hacks δεν είναι εξελιγμένα. Τα περισσότερα προκύπτουν από αυτοματοποιημένες επιθέσεις από botnets ή “script kiddies” που χρησιμοποιούν προϋπάρχοντα κακόβουλο κώδικα.

Αυτές οι επιθέσεις, που κυμαίνονται από επιθέσεις άρνησης παροχής υπηρεσιών (DoS) έως την εντολή διακομιστών για διανομή ανεπιθύμητων μηνυμάτων ή εξόρυξη κρυπτονομισμάτων, υπογραμμίζουν την ποικιλομορφία των απειλών στον κυβερνοχώρο.

Τέτοιες δραστηριότητες καταδεικνύουν ένα μείγμα περίπλοκων συστημάτων και την ευκαιριακή κατάχρηση γνωστών τρωτών σημείων που φορολογούν σημαντικά τους πόρους του συστήματος.

Σημάδια συμβιβασμού, όπως καθυστερημένα email, διακοπή ροής ή αισθητή επιβράδυνση του διακομιστή σας, αποτελούν δείκτες πιθανής μη εξουσιοδοτημένης πρόσβασης. Η έγκαιρη αναγνώριση αυτών των σημάτων σας δίνει τη δυνατότητα να ενεργήσετε γρήγορα.

Ευτυχώς, υπάρχουν απλά μέτρα που μπορείτε να υιοθετήσετε για να επαληθεύσετε την ασφάλεια του διακομιστή σας. Τα παρακάτω είναι βήματα που θα σας βοηθήσουν να διασφαλίσετε ότι η ακεραιότητα του διακομιστή σας παραμένει ανέπαφη.

Βήμα 1. Ελέγξτε τις Ενεργές συνδέσεις
Εάν ένας κακός ηθοποιός έχει παραβιάσει τον διακομιστή σας, μπορεί να είναι ακόμα συνδεδεμένος. Ο ευκολότερος τρόπος για να ελέγξετε αν συμβαίνει αυτό είναι να συνδεθείτε στον διακομιστή σας Linux μέσω SSH και να εκτελέσετε:

w

Αυτή η απλή εντολή ενός γράμματος εμφανίζει άλλους συνδεδεμένους χρήστες και τους χρόνους σύνδεσής τους. Στην ιδανική περίπτωση, αυτό θα δείξει ότι δεν υπάρχουν άλλοι συνδεδεμένοι χρήστες εκτός από εσάς (όπως απεικονίζεται).

Εάν εκτελέσετε την εντολή “w”, μπορείτε να δείτε τη διεύθυνση IP άλλων συνδεδεμένων χρηστών μέσω του πεδίου “FROM”. Μπορείτε να χρησιμοποιήσετε την εντολή whois για να προσδιορίσετε πού καταχωρήθηκε αρχικά η IP:

whois 8.8.8.8

Μπορείτε επίσης να δείτε πληροφορίες σχετικά με τους συνδεδεμένους χρήστες και τυχόν ενεργές διαδικασίες με τις οποίες εκτελούνται:

ποιος -u

Βήμα 2. Ελέγξτε τις προηγούμενες συνδέσεις
Εάν δεν έχουν συνδεθεί άγνωστοι χρήστες στο διακομιστή, θα πρέπει επίσης να ελέγξετε το ιστορικό σύνδεσης του διακομιστή σας. Ο ευκολότερος τρόπος για να το κάνετε αυτό είναι τρέχοντας:

τελευταίος

Η έξοδος από αυτήν την εντολή φλοιού θα εμφανίσει το όνομα χρήστη, τη διεύθυνση IP και τους χρόνους σύνδεσης των προηγούμενων χρηστών.

Εάν δεν αναγνωρίζετε έναν χρήστη, όπως με το “gremlin” στην παραπάνω εικόνα, μπορείτε να εκτελέσετε ξανά την εντολή με το όνομα χρήστη του για να δείτε μόνο το ιστορικό σύνδεσής του, π.χ.

last gremlin

Μπορείτε επίσης να χρησιμοποιήσετε την εντολή «whois» στη διεύθυνση IP σύνδεσης για άλλη μια φορά για να προσπαθήσετε να εντοπίσετε την τοποθεσία τους.

Εάν ο χρήστης δεν είναι εξουσιοδοτημένος, μπορείτε να τερματίσετε τη συνεδρία SSH και τυχόν διεργασίες που σχετίζονται με το όνομα χρήστη του χρησιμοποιώντας το pkill, για παράδειγμα:

sudo pkill -U gremlin

Όταν εκτελείτε την τελευταία εντολή, θα παρατηρήσετε ότι η τελική γραμμή εξόδου αναφέρεται σε «wtmp», π.χ.

“Wtmp ξεκινά Τετ 7 Φεβρουαρίου 16:47:08 2024”

Φροντίστε να προσέχετε πολύ την ημερομηνία και την ώρα. Εάν είναι πρόσφατο, ένας χάκερ μπορεί να έχει διαγράψει το /var/log/wtmp, το οποίο αποθηκεύει τις πρόσφατες προσπάθειες σύνδεσης, για να καλύψει τα ίχνη του.

Βήμα 3. Ελέγξτε τις Προηγούμενες Εντολές
Εάν ανακαλύψετε μη αναγνωρισμένους χρήστες, θα πρέπει να ελέγξετε για να δείτε ποιες εντολές έχουν εκτελεστεί. Αυτή η λίστα αποθηκεύεται στο ~/.bash_history, το οποίο μπορείτε να προβάλετε από το Terminal εκτελώντας:

cat ~/.bash_history

Συνήθως, θα δείτε μια μακρά λίστα εντολών εδώ. Έχετε τα μάτια σας ανοιχτά για κοινές εντολές όπως εγκατάσταση, μπούκλα ή wget, οι οποίες μπορούν να χρησιμοποιηθούν για τη λήψη και εγκατάσταση κακόβουλου λογισμικού.

Εάν το Terminal σας πει ότι δεν υπάρχει τέτοιο αρχείο ή κατάλογος, ένας χάκερ μπορεί να έχει διαγράψει τη λίστα για να κρύψει τα ίχνη των εντολών που έχουν εκτελέσει.

Βήμα 4. Ελέγξτε τις πιο εντατικές διαδικασίες
Όπως μάθαμε, οι χάκερ που εισβάλλουν σε διακομιστές θα ξεκινούν συχνά διαδικασίες έντασης συστήματος, όπως η εγκατάσταση προγραμμάτων που έχουν σχεδιαστεί για την εξόρυξη κρυπτονομισμάτων.

Μπορείτε να ελέγξετε αν αυτό συμβαίνει χρησιμοποιώντας την εντολή top: ένα ενσωματωμένο βοηθητικό πρόγραμμα Linux που παρέχει μια δυναμική προβολή της απόδοσης του συστήματος σε πραγματικό χρόνο.

Οι πληροφορίες εδώ μπορεί να φαίνονται συντριπτικές, οπότε πρώτα, απλά εστιάστε στη στήλη “εντολή”, η οποία παραθέτει τα ονόματα των ενεργών διεργασιών. Αν δείτε κάποιο που δεν αναγνωρίζετε, σημειώστε το PID του (αναγνωριστικό διεργασίας). Όταν τελειώσετε, χρησιμοποιήστε Ctrl + C για έξοδο.

Η πρώτη και απλούστερη δοκιμή που μπορείτε να εκτελέσετε σε μια μη αναγνωρισμένη διαδικασία είναι να εκτελέσετε το όνομά της μέσω μιας μηχανής αναζήτησης. Για παράδειγμα, το googling “fish linux process” αποκαλύπτει ότι η διαδικασία που αναφέρεται στην παραπάνω εικόνα είναι απλώς ένα φιλικό προς το χρήστη κέλυφος γραμμής εντολών.

Μπορείτε επίσης να ανακαλύψετε ποια αρχεία έχουν προσπελαστεί από μια συγκεκριμένη διαδικασία χρησιμοποιώντας το lsof μαζί με το αναγνωριστικό διεργασίας, για παράδειγμα:

lsof -p 772

Βήμα 5. Ελέγξτε όλες τις διεργασίες συστήματος
Εάν ο χάκερ είναι έξυπνος, θα βεβαιωθεί ότι τα εγκατεστημένα προγράμματά του δεν δεσμεύουν πάρα πολλούς πόρους συστήματος για να προσπαθήσουν να παραμείνουν κάτω από το ραντάρ. Κατά συνέπεια, οι διεργασίες που ξεκινούν ενδέχεται να μην εμφανίζονται στη λίστα που δημιουργείται από την κορυφαία εντολή. Για να ελέγξετε ξανά όλες τις διεργασίες που εκτελούνται, χρησιμοποιήστε:

ps auxf

Αυτή η εντολή οργανώνει λογικά τις τρέχουσες διαδικασίες. Οι στήλες εδώ είναι αυτονόητες. Για άλλη μια φορά, το αναγνωριστικό διεργασίας (PID) και η χρήση της CPU και της μνήμης αναφέρονται ως ποσοστό του συνολικού συστήματος.

Ελέγξτε ξανά προσεκτικά τη στήλη “Command”. Εάν δεν αναγνωρίζετε καμία διαδικασία, χρησιμοποιήστε μια μηχανή αναζήτησης και lsof όπως στο προηγούμενο βήμα για να τις αναγνωρίσετε. Χρησιμοποιήστε Ctrl + C για έξοδο.

Βήμα 6. Ελέγξτε τις διεργασίες δικτύου
Οι ειδικευμένοι χάκερ εγκαθιστούν μερικές φορές προγράμματα backdoor που έχουν ρυθμιστεί μόνο για να ακούν για περαιτέρω οδηγίες. Αυτά καταναλώνουν ελάχιστους πόρους CPU/συστήματος, καθιστώντας εύκολο να τα χάσετε.

Για να είστε ασφαλείς, βεβαιωθείτε ότι έχετε καταχωρίσει όλες τις διεργασίες που κάνουν ακρόαση για συνδέσεις δικτύου εκτελώντας:

sudo lsof -i

Κοιτάξτε προς το τέλος κάθε καταχώρισης για να ελέγξετε εάν η διαδικασία βρίσκεται σε λειτουργία “Listen”, δηλαδή σε αναμονή για σύνδεση. Εάν δεν αναγνωρίζετε ένα όνομα διεργασίας, προσπαθήστε να μάθετε περισσότερα σχετικά με αυτήν χρησιμοποιώντας τις μεθόδους που περιγράφονται στο Βήμα 4.

Βήμα 7. Τερματισμός μη εξουσιοδοτημένων διεργασιών
Εάν βρείτε μια ύποπτη διαδικασία, μπορείτε να την τερματίσετε αμέσως χρησιμοποιώντας την εντολή kill καθώς και το PID:

sudo kill -9 2046

Εάν ένα πρόγραμμα έχει ξεκινήσει πολλές διεργασίες, μπορείτε να τις τερματίσετε όλες με killall:

sudo killall fish

Αν σας έχουν παραβιάσει
Αφού ελέγξετε τους συνδεδεμένους χρήστες, το ιστορικό εντολών και τις ενεργές διαδικασίες που πιστεύετε ότι ο διακομιστής σας έχει παραβιαστεί ή έχει παραβιαστεί, μπορείτε να τον τερματίσετε εξ αποστάσεως με την εντολή:

sudo shutdown -h now

Εάν νοικιάζετε χώρο διακομιστή από τρίτο μέρος, ενδέχεται επίσης να μπορείτε να τον τερματίσετε μέσω του πίνακα εργαλείων στην πύλη ιστού του παρόχου. Από εδώ, μπορείτε να σκουπίσετε και να εγκαταστήσετε ξανά τον διακομιστή όπως σας ταιριάζει.

Συμβουλευτείτε ειδικούς σε θέματα κυβερνοασφάλειας
Σε περίπτωση που υποψιάζεστε ότι ο διακομιστής σας έχει παραβιαστεί, ειδικά εάν η επιχείρησή σας χειρίζεται ευαίσθητα δεδομένα, είναι πρωταρχικής σημασίας να αναζητήσετε την τεχνογνωσία των επαγγελματιών στον τομέα της κυβερνοασφάλειας.

Οι ειδικοί σε θέματα ασφάλειας υπολογιστών μπορούν να παρέχουν έναν ολοκληρωμένο έλεγχο ασφάλειας, να προσδιορίσουν την πλήρη έκταση της παραβίασης και να προτείνουν μέτρα όχι μόνο για τη διόρθωση των τρωτών σημείων αλλά και για την ενίσχυση της άμυνάς σας έναντι μελλοντικών επιθέσεων.

Θυμηθείτε, τα σημάδια ενός hack μπορεί συχνά να είναι διακριτικά και οι συνέπειες είναι εκτεταμένες. Η συνεργασία με ειδικούς στον τομέα της κυβερνοασφάλειας όχι μόνο βοηθά στην αποτελεσματική αντιμετώπιση των άμεσων προβλημάτων ασφάλειας, αλλά και στη δημιουργία ενός ισχυρού πλαισίου για τη μακροπρόθεσμη προστασία των ψηφιακών σας περιουσιακών στοιχείων.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Οι πληρωμές με Google Wallet έχουν γίνει εκνευριστικές! Πότε θα το φτιάξουν;

Πώς να κάνετε αναβάθμιση στο Ubuntu 23.10 Mantic Minotaur