Si el sistema Linux está pirateado Cómo juzgar

El nombre común es "El diablo del script" es un pirata informático muy malo, porque básicamente muchos de ellos y la mayoría de las personas son tan hábiles. Se puede decir que si instala todos los parches correctos, tiene un firewall probado y activa sistemas avanzados de detección de intrusos en múltiples niveles, entonces en un solo caso será hackeado, es decir, Demasiado perezoso para hacer qué hacer, por ejemplo, para instalar el último parche para BIND.

Es realmente vergonzoso estar aturdido. Es más serio que algunos demonios de secuencias de comandos también descarguen algunos "kits de raíz" conocidos o herramientas de espionaje populares, que ocupan tu CPU. , memoria, datos y ancho de banda. ¿Dónde empezaron estos chicos malos desde allí? Esto comienza con el kit de raíz.

Un kit de raíz es en realidad un paquete que los piratas informáticos utilizan para proporcionar acceso a su máquina a nivel de raíz. Una vez que el hacker puede acceder a su máquina como root, todo está listo. Lo único que puede hacer es hacer una copia de seguridad de sus datos con la eficiencia más rápida, limpiar el disco duro y reinstalar el sistema operativo. En cualquier caso, una vez que alguien recauda su máquina, la recuperación no es una tarea fácil.

¿Puedes confiar en tu comando ps?

El primer truco para descubrir el kit raíz es ejecutar el comando ps. Puede ser normal que veas todo. La ilustración es un ejemplo de una salida de comando ps. La verdadera pregunta es: "¿Es todo realmente normal?" " Un truco que los piratas informáticos utilizan a menudo es reemplazar el comando ps, y el ps en este reemplazo no mostrará los programas ilegales que se están ejecutando en su máquina. Para realizar la prueba, debe verificar el tamaño de su archivo ps, que generalmente se encuentra en /bin /ps. Tiene alrededor de 60 kB en nuestra máquina Linux. Recientemente, encontré un programa ps reemplazado por el kit raíz, que es solo de 12 kB. El tamaño.

Otra estafa obvia es vincular el archivo de historial de comandos raíz a /dev /null. Este archivo de historial de comandos se utiliza para rastrear y registrar el inicio de sesión de un usuario en una máquina Linux. Ordenado El propósito de los hackers que redirigen sus archivos de historial a /dev /null es que no puede ver los comandos que han ingresado.

Puede acceder a su archivo de historial escribiendo historial en el indicador del shell. Si se encuentra usando el comando de historial y no aparece en la lista de comandos que ha usado anteriormente, debe revisar su archivo ~ /.bash_history. Si el archivo está vacío, ejecute un comando ls -l ~ /.bash_history. Después de ejecutar el comando anterior, verá una salida similar a la siguiente:

-rw — — 1 jd jd 13829 10 de octubre 17:06 /home/jd/.bash_history

O, podría ver una salida similar a la siguiente:

lrwxrwxrwx 1 jd jd 9 oct 10 19:40 /home/jd/.bash_history -> /dev /null

Lo que ve es el segundo, que indica que el archivo .bash_history se ha redirigido a /dev /null. Este es un mensaje fatal. Desconecte inmediatamente su máquina de Internet y haga una copia de seguridad de sus archivos tanto como sea posible. Datos y empezar a reinstalar el sistema.

Búsqueda de cuentas de usuarios desconocidos

Cuando vaya a realizar una prueba en su máquina con Linux, es aconsejable que primero busque cuentas de usuarios desconocidos. La próxima vez que inicie sesión en su máquina Linux, escriba el siguiente comando:

grep: x: 0: /etc /passwd

Sólo hay una línea, lo enfatizo nuevamente, en un estándar En una instalación de Linux, el comando grep solo debe devolver una línea, similar a la siguiente:

root: x: 0: 0: root: /root: /bin /bash

Si escribió antes Después del comando grep, su sistema devuelve más de una línea, lo que puede ser un problema. Solo debe haber un usuario cuyo UID sea 0, y si el comando grep devuelve más de una línea, significa más de un usuario.

En serio, aunque estos son buenos métodos básicos para descubrir la piratería. Pero estas técnicas por sí solas no constituyen una seguridad suficiente, y su profundidad y amplitud son mucho peores que los sistemas de detección de intrusos mencionados en el artículo.

La sugerencia de Youth Network es que, si sospecha que su sistema es realmente un problema, llame a un experto en seguridad de Linux y consulte su opinión. Después de todo, la seguridad de Linux se puede hacer de inmediato.