netstat

Как проверить Linux-сервер на предмет взлома

Четверг, 10 февраля 2011 г.
Рубрика: *NIX_*BSD сиcтемы -> В помощь сисадмину
Метки: | | | | | | | |
Просмотров: 23217
Подписаться на комментарии по RSS

Как проверить Linux-сервер на предмет взлома, если закрались какие либо подозрения.

Но сразу скажу что все зависит от квалификации злоумышленника и значимости ресурса.

По крайне мере думаю,что для многих это будет полезно и познавательно. Для начало сканируем с другого хоста что у нас открыто из подозрительных открытых портов, при помощи утилиты nmap:

$ nmap -P0 -p 1-65505 XXX.XXX.XXX.XXX (или хост)
Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for host (XXX.XXX.XXX.XXX)
Host is up (0.0066s latency).
Not shown: 65499 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
1723/tcp open pptp
... ...

далее ...

ifconfig Показать конфигурацию всех сетевых интерфейсов

ifconfig eth0 Показать конфигурацию сетевого интерфейса eth0

ifup eth0 Активировать сетевой интерфейс eth0

ifdown eth0 Отключить сетевой интерфейс eth0

ifconfig eth0 192.168.1.1 netmask 255.255.255.0 Задать конфигурацию IP адреса

ifconfig eth0 promisc Позволяет получать все пакеты, независимо от того были ли они предназначены для хоста или нет. (Это позволяет анализировать сетевой трафик.)

dhclient eth0 Включить на интерфейсе eth0 режим dhcp

route -n Показать таблицу роутинга

route add -net 0/0 gw IP_адрес_шлюза Задать шлюз

route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.1.1 настроить статический маршрут для сети 192 .168.0.0/16

далее ...

cat /etc/services - вывод всех известный портов и утилит(программ) которые на них работают.