Как провести проверку сервера на предмет взлома
Около двух лет назад я взял в аренду не особо сильный сервер, который работает на базе под названием Centos 5.2. Здесь есть небольшое количество веб-разработок, которые приносят некий доход. Именно этот факт заставил меня тщательнее следить за сервером, дабы не допустить взлома.
Подробнее о проверке сервера на предмет взлома
Хочу отметить классический анализатор, который называется Log Watch. Его работа состоит из четырех этапов.
1. Он запускается каждый день с помощью планировщика задач.
2. Проводит анализ содержимого папки /var /log.
3. Составляет отчет о работе и высылает его на электронный адрес.
Однажды мне на почту пришел отчет, где было написано о том, что на моем сервере была произведена установка одного из пакетов. Интересно то, что накануне я не был на этом сервисе и как следствие не выполнял никаких дополнительных установок. И в этот момент я подумал про попытку криптографической компрометации, по-простому – взлом сервера.
Хоть я и бывалый пользователь операционной системы Linux, я все равно немного растерялся. Мне пришлось связаться со своим бывшим сотрудником, который является наилучшим системным администратором. Благодаря ему мы смогли провести быструю проверку системы. После этого я придумал личный план, по которому можно проводить проверку своего сервера на возможную компрометацию.
Алгоритм проверки сервера и мой личный опыт его применения
1. Для начала необходимо изменить пароль root.
2. Затем провести сканирование хоста, чтобы исключить подозрительные открытые порты. Я это делал при помощи Unix устройства через утилиту nmap. В моем случае все было хорошо.
3. Следующим шагом будет проверка User Datagram Protocol соединений. У меня здесь также все было в порядке. То есть кто-то зашел на мой сервер не при помощи консоли, так как в отчете было указано, что вход был с моего адреса.
4. Потом нужно проверить папку /root.ssh, потому как там могут оказаться ключи другого пользователя.
5. Проверяем файлы /etc/ passwd. Что касается меня, здесь я также не заметил ничего подозрительного.
6. Последний шаг – проверить хостинг на инсталлированный рут кит. Здесь вы можете воспользоваться бесплатной утилитой под названием rkhunter. Просто скачайте последнюю версию, разархивируйте и запустите глубокую проверку.
Подведение итогов
Изучив весь алгоритм действий, вы сможете легко проверить свой сервер на предмет взлома. Насчет себя могу сказать, что вся паника была ни к чему. В Log Watch была какая-то ошибка, из-за чего он прислал мне отчет двухлетней давности.
Читать статью на:
