ルーキークラス：Linuxサーバが攻撃されているかどうかを調べる方法

一般的に「スクリプトキッド」と呼ばれる人は非常に悪いハッカーです。正しいパッチをすべてインストールし、ファイアウォールをテストし、高度な侵入検知システムを複数のレベルでアクティブ化すると、ハッキングされるのは1つのケースだけです。たとえば、BIND用の最新のパッチをインストールするなど、やることが遅すぎる。

気を悪くさせるのは本当に恥ずかしいことですが、スクリプトによっては有名な「ルートキット」や人気の高いスパイツールがダウンロードされてしまうことがあります。 CPU、メモリ、データ、および帯域幅これらの悪者はそこから始まったのでしょうか？これはルートキットから始まります。

ルートキットは、実際にはハッカーが自分のマシンへのルートレベルのアクセスを提供するために使用するパッケージです。ハッカーがあなたのマシンにrootとしてアクセスできるようになれば、すべて完了です。あなたがすることができる唯一のことは最速の効率であなたのデータをバックアップして、ハードドライブをきれいにして、そしてオペレーティングシステムを再インストールすることです。いずれにせよ、いったんあなたのマシンが誰かに引き継がれたら、回復は簡単な作業ではありません。

psコマンドを信頼できますか？

ルートキットを見つける最初のトリックは、psコマンドを実行することです。すべてを見るのは普通のことかもしれません。図はpsコマンドの出力例です。本当の質問は、「すべてが本当に普通なのか」ということです。ハッカーがよく使うトリックの1つは、psコマンドを置き換えることです。この置き換えのpsは、マシン上で実行されている不正プログラムを表示しません。これをテストするには、通常は/bin /psにあるpsファイルのサイズを確認する必要があります。私たちのLinuxマシンでは約60kBです。私は最近、ルートキットに置き換えられたpsプログラムに遭遇しましたが、これはたった約12kBのサイズです。

もう1つの明らかな詐欺は、ルートコマンド履歴ファイルを/dev /nullにリンクすることです。このコマンド履歴ファイルは、Linuxマシンにログインした後にユーザーが使用したコマンドを追跡して記録するために使用されます。履歴ファイルを/dev /nullにリダイレクトするハッカーの目的は、それらが入力したコマンドを見ることができないということです。

履歴ファイルにアクセスするには、シェルプロンプトでhistoryと入力します。 historyコマンドを使用していて、それが以前に使用したコマンドのリストに表示されない場合は、〜/.bash_historyファイルを見てください。ファイルが空の場合は、ls -l〜/.bash_historyコマンドを実行してください。上記のコマンドを実行すると、次のような出力が表示されます。

-rw ------- 1 jd jd 13829 Oct 10 17:06 /home /jd /。 Bash_history

あるいは、次のような出力が表示されることがあります。

lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history - > /dev /null

2番目のメッセージが表示された場合は、.bash_historyファイルが/dev /nullにリダイレクトされています。これは致命的なメッセージです。ただちにコンピュータをインターネットから切断し、できるだけデータをバックアップしてから、システムの再インストールを開始してください。

未知のユーザーアカウントを探す

あなたのLinuxマシンでテストをするつもりなら、まず未知のユーザーアカウントがあるかどうかチェックするのが賢明です。次にLinuxマシンにログインするときは、次のコマンドを入力します。

grep：x：0：/etc /passwd

1行だけです。標準のLinuxインストールでは、grepコマンドは次のように1行だけを返すようにしてください。

root：x：0：0：root：/root：/bin /bash

直前のgrepコマンドを入力した後にシステムが複数の行を返した場合は、問題がある可能性があります。 UIDが0のユーザーは1人だけでなければならず、grepコマンドが複数の行を返す場合、それは複数のユーザーを意味します。

まさしく、これらはハッキングの振る舞いを発見するための良い基本的な方法ですが。しかし、これらの技術だけでは十分なセキュリティを構成することはできず、その深さと幅は、この記事で言及されている侵入検知システムよりはるかに悪いものです。
zh-CN"],null,[1],zh-TW"]]]