いいえ-サーバーをハッキングする！ 検証と保護のヒント

Linuxサーバーがハッキングされた疑いがありますか？ すべてが正常であることは確かですが、セキュリティレベルを上げたい場合に備えて、 その場合は、システムのハッキングをチェックして保護を強化するための簡単なヒントを以下に示します。

確認する

たとえば、Ubuntuを実行しているサーバーがハッキングされているかどうかを確認するには、何かをチェックする価値があります。

ast最後のログイン情報

最後のログインの詳細を確認します。 これは、lastlogコマンドを使用して行われます。

$>lastlog
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

▍チームの歴史

チームの歴史を見て、チームがいつエントリーされたかを正確に調べてください。

 $>history
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コマンドのリストが日付なしで表示される場合、履歴ユーティリティの対応するパラメータを設定します。

auth auth.logログ

次に確認する方法は、/ var / log / auth.logファイルを確認することです。 たとえば、次のコマンドを使用します。

 $>sudo vi /var/log/auth.log
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、SSH経由でサーバーに接続しようとしたすべてのユーザーのリストを見つけることができます。

▍IPアドレス

サーバーに接続したIPアドレスを確認するには、次のコマンドを使用します。

 $>zgrep sshd /var/log/auth.log* | grep rhost | sed -re 's/.*rhost=([^ ]+).*/\1/' | sort –u
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

▍Apacheログ

Apacheログを確認します。

 $>sudo vi /var/log/apache2/access.log $>sudo vi /var/log/apache2/error.log
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

su疑わしいプロセスの検索

サーバーがハッキングされたことが確実な場合は、攻撃者のプロセスを探してください。 たとえば、次のコマンドを使用して、すべてのプロセスのリストを取得できます。

 $>ps aux | less
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

▍cronジョブリスト

ハッキングのためにサーバーを分析する場合、cronジョブのリストを確認すると便利です。このリストでは、攻撃者は独自の何かを追加できます。

 $>crontab -l | grep -v '^#'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

検証によってハッキングの試みが明らかにされたかどうかに関係なく、セキュリティはあまりありません。 サーバーを保護するためのヒントを次に示します。

保護

サーバー保護の推奨事項は、主に不審なアクティビティの追跡とブロック、および定期的なソフトウェアの更新に関するものです。

SSHSSH経由でrootユーザーのログインを撮影する

サーバーのセキュリティレベルを上げるには、SSHを介したrootユーザーのログインを禁止する価値があります。

 $>sudo vi /etc/ssh/sshd_config PermitRootLogin no
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

updates自動更新

無人アップグレードパッケージを使用して自動セキュリティ更新を有効にします。 最初にインストールする必要があります：

 $>sudo apt-get install unattended-upgrades
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のステップは設定することです：

 $>sudo dpkg-reconfigure -plow unattended-upgrades
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パッケージを自分で呼び出すことができます。

 $>sudo unattended-upgrade
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

lockロックの設定

fail2banパッケージをインストールします。 その助けを借りて不審なSSHユーザーをブロックするには、レポートシステムを構成するフィールドでこのガイドを使用します。

fail2banが特定のIPアドレスをブロックした回数を調べるには、次のコマンドを使用します。

 $>sudo awk '($(NF-1) = /Ban/){print $NF}' /var/log/fail2ban.log | sort | uniq -c | sort –n
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

fail2banログファイル全体を表示するには、次を入力します。

 $>sudo zgrep -h "Ban "/var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq –c
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

問題のあるサブネットを検索するには、次のコマンドを使用します。

 $>sudo zgrep -h "Ban " /var/log/fail2ban.log* | awk '{print $NF}' | awk -F\. '{print $1"."$2"."}' | sort | uniq -c | sort -n | tail
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

特定のサブネットからの攻撃が定期的に発生することがログファイルの分析で示されている場合、継続的にブロックできます。 ただし、その前に、サブネットが属する国を確認する価値があります。



たとえば、サブネット221.229からsshdポートへの接続をブロックする方法は次のとおりです。

 $>sudo iptables -I INPUT -p tcp -s 221.229.0.0/255.255.0.0 --dport ssh -j REJECT --reject-with tcp-reset
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

iptablesルールによってブロックされたものを正確に調べるには、次のコマンドを使用できます。

 $>sudo iptables -vnL INPUT --line-numbers
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバーの再起動後もiptablesルールを維持するには、Ubuntuにiptables-persistentパッケージをインストールします。

 $>sudo apt-get install iptables-persistent $>cat /etc/iptables/rules.v4
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

iptablesルールを編集した場合は、次のコマンドを使用します。

 $>sudo bash -c "iptables-save  > /etc/iptables/rules.v4"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ルールファイルは手動で編集することはお勧めしません。その形式は、すべてが正常に機能するために重要であるためです。

まとめ

Linuxサーバーのハッキングをチェックする方法と、保護の改善について話しました。 私たちのヒントが、システムの情報セキュリティのレベルを高めるのに役立つことを願っています。