Linuxサーバーがハッキングされた疑いがありますか? すべてが正常であることは確かですが、セキュリティレベルを上げたい場合に備えて、 その場合は、システムのハッキングをチェックして保護を強化するための簡単なヒントを以下に示します。
確認する
たとえば、Ubuntuを実行しているサーバーがハッキングされているかどうかを確認するには、何かをチェックする価値があります。
ast最後のログイン情報
最後のログインの詳細を確認します。 これは、lastlogコマンドを使用して行われます。
$>lastlog
▍チームの歴史
チームの歴史を見て、チームがいつエントリーされたかを正確に調べてください。
$>history
コマンドのリストが日付なしで表示される場合、履歴ユーティリティの対応するパラメータを設定します。
auth auth.logログ
次に確認する方法は、/ var / log / auth.logファイルを確認することです。 たとえば、次のコマンドを使用します。
$>sudo vi /var/log/auth.log
ここでは、SSH経由でサーバーに接続しようとしたすべてのユーザーのリストを見つけることができます。
▍IPアドレス
サーバーに接続したIPアドレスを確認するには、次のコマンドを使用します。
$>zgrep sshd /var/log/auth.log* | grep rhost | sed -re 's/.*rhost=([^ ]+).*/\1/' | sort –u
▍Apacheログ
Apacheログを確認します。
$>sudo vi /var/log/apache2/access.log $>sudo vi /var/log/apache2/error.log
su疑わしいプロセスの検索
サーバーがハッキングされたことが確実な場合は、攻撃者のプロセスを探してください。 たとえば、次のコマンドを使用して、すべてのプロセスのリストを取得できます。
$>ps aux | less
▍cronジョブリスト
ハッキングのためにサーバーを分析する場合、cronジョブのリストを確認すると便利です。このリストでは、攻撃者は独自の何かを追加できます。
$>crontab -l | grep -v '^#'
検証によってハッキングの試みが明らかにされたかどうかに関係なく、セキュリティはあまりありません。 サーバーを保護するためのヒントを次に示します。
保護
サーバー保護の推奨事項は、主に不審なアクティビティの追跡とブロック、および定期的なソフトウェアの更新に関するものです。
SSHSSH経由でrootユーザーのログインを撮影する
サーバーのセキュリティレベルを上げるには、SSHを介したrootユーザーのログインを禁止する価値があります。
$>sudo vi /etc/ssh/sshd_config PermitRootLogin no
updates自動更新
無人アップグレードパッケージを使用して自動セキュリティ更新を有効にします。 最初にインストールする必要があります:
$>sudo apt-get install unattended-upgrades
次のステップは設定することです:
$>sudo dpkg-reconfigure -plow unattended-upgrades
パッケージを自分で呼び出すことができます。
$>sudo unattended-upgrade
lockロックの設定
fail2banパッケージをインストールします。 その助けを借りて不審なSSHユーザーをブロック
するには、レポートシステムを
構成するフィールドで
このガイドを使用します。
fail2banが特定のIPアドレスをブロックした回数を調べるには、次のコマンドを使用します。
$>sudo awk '($(NF-1) = /Ban/){print $NF}' /var/log/fail2ban.log | sort | uniq -c | sort –n
fail2banログファイル全体を表示するには、次を入力します。
$>sudo zgrep -h "Ban "/var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq –c
問題のあるサブネットを検索するには、次のコマンドを使用します。
$>sudo zgrep -h "Ban " /var/log/fail2ban.log* | awk '{print $NF}' | awk -F\. '{print $1"."$2"."}' | sort | uniq -c | sort -n | tail
特定のサブネットからの攻撃が定期的に発生することがログファイルの分析で示されている場合、継続的にブロックできます。 ただし、その前に、サブネットが属する国を確認する価値があります。
たとえば、サブネット221.229からsshdポートへの接続をブロックする方法は次のとおりです。
$>sudo iptables -I INPUT -p tcp -s 221.229.0.0/255.255.0.0
iptablesルールによってブロックされたものを正確に調べるには、次のコマンドを使用できます。
$>sudo iptables -vnL INPUT
サーバーの再起動後もiptablesルールを維持するには、Ubuntuにiptables-persistentパッケージをインストールします。
$>sudo apt-get install iptables-persistent $>cat /etc/iptables/rules.v4
iptablesルールを編集した場合は、次のコマンドを使用します。
$>sudo bash -c "iptables-save > /etc/iptables/rules.v4"
ルールファイルは手動で編集することはお勧めしません。その形式は、すべてが正常に機能するために重要であるためです。
まとめ
Linuxサーバーのハッキングをチェックする方法と、保護の改善について話しました。 私たちのヒントが、システムの情報セキュリティのレベルを高めるのに役立つことを願っています。