Lastlog Last netstat og lsof
Skrevet af: Karsten Birch-Johansen i 
Technorati Tags:
Det er ret surt at se sin secure log fyldt med IP adresser fra en lille bumset fyr fra Polen, på 14 år helt sikkert. Det er dog endnu vigtigere at du sikrer dig at banditten ikke har haft held med sig, og har været inde på dit system for dels at rode, men også installere egne services.
Nedenstående metoder, hører egentlig ret godt sammen med at sikre sin VPS, fra kategorien om VPS sikring. På den anden side er det vel også standard U*nix så derfor landede den i denne kategori.
Udover nedenstående, kan man ikke sige nok gange; sørg for svære passwords, vær helt sikker på at PermitRootLogin stadig står som NO i /etc/shhd/shhd_config. Ligeledes være helt sikker på at der ikke er tilføjet nye brugernavne til grupperne wheel og admin i /etc/groups.
1. [hosting:/root] /usr/bin/lastlog | grep -v "Never logged in"
Ovenstående viser hvilke konti, der har været logget på systemmet. Finder du i ovenstående nogle konti ala. mail, games, ftp el. apache så er der nok nogen der har lavet en bagdør til dit system. Lås kontoen med det samme via passwd -l userid. Ændre herefter login typen i /etc/passwd filen til hvad der er normalt typisk /sbin/nologin (kan varriere afhængigt af unix system). Til sidst bevæg dig op i "roden" og lokaliser de filer vedkommende konto ejer med; find / -owner Undersøg meget forsigtigt, hvad du finder.
2. [hosting:/root] /usr/bin/last | more
Ovenstående viser login tidsstempler, IP adresser og muligvis host navn fra hvor forbindelsen blev oprettet samt hvor længe sessionen varrede. Kig efter brugernavne, IP adresser, hostnavne som du ikke kender - kig på hvornår det var, da dette giver dig en indikation på hvornår en eller anden kugle har hacket din box.
3. [hosting:/root] netstat -pln | more
Dette er ret interessant! Ovenstående viser hvilke porte der lyttes på samt hvilke interfaces de er bundet til (loopback og public interfaces) samt hvilken prosess der kontrollerer porten. Nedenstående min liste - det er ikke en fuld liste, og port 22 kender resten af verden også.
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13546/sshd
Kig på kolonnen Local address hvor du ser enten 0.0.0.0:port eller IP adresse:port eller IP addresse.port
Alle adresser der viser 0.0.0.0 er bundet til dit public interface, og dermed tilgængelig via internettet. Dvs hvis en hacker har været på spil og lagt nogen af sine egen services ind på din box - er det med stor sansynlighed du vil finde dem her. Derfor ser du noget du ikke genkender så start med at stoppe pågældende service.
Adresser der viser 127.0.0.1 er til loopback interfacet og kun tilgængelige via din lokale host. Derfor behøves du ikke gøre noget ved disse - lige pt. ihvertfald.
Kig nu efter PID/Program name kolonnen idet det viser prosess id samt programnavn. Med prosess id'et kan du lave en ps -ef | grep -i PID for at få info om prosessen - hvis der er nogen du ikke kan lide laver du blot en kill -9 PID.
Hvis du nu finder en prosess, som du har lyst til at slå ihjel ..... så vent lige et øjeblik. His du nu f.eks finder en prosess, lad os kalde den KEJLE, så prøv først at kigge på hvilke åbne filer KEJLE har gang i med kommandoen;
[hosting:/root] lsof | grep KEJLE | more
Hvis du er helt usikker på kørende prosesser, og luk ned for mail serveren, web serveren, databaserne etc - indtil du næsten kun har SSH kørende og så kig igen via netstat -pln. Det er vigtigt du bliver intim med din unix.
