Xaker hücumuna məruz qalmış Linux sistem analizi
Hacked Linux System Analysis
Salam əziz oxucular, bu gün sizə Xaker hücumuna məruz qalmış Linux sisteminin analizi, bir hücumun təsirini, mənbəyini və metodlarını müəyyənləşdirmək, eləcə də gələcək hücumların qarşısını almaq üçün çox vacibdir. Bu prosesə təhlükəsizlik hadisələrinin təhlili və ya insidentlərin cavablandırılması da deyilir.Hücuma məruz qalmış linux cihazın analizi İlk addım sistemdəki zərərin miqyasını və hücumun növünü müəyyən etməkdir. Niyə şübhələnirsiniz? Sistem yavaşlayıb, qəribə proseslər işləyir, ya da şübhəli şəbəkə trafiki var? Hücumun İlkin dəlillər nədir? Log faylları, proseslər, fayl dəyişiklikləri. Əgər sistemin hələ də up olması vacib deyilsə Şəbəkədən ayırın Hücumun davam etməsinin qarşısını almaq üçün sistemin internetlə əlaqəsini kəsin. Sonra isə sistem görüntüsünü alın (Forensik analiz üçün) Fayl sistemi, proseslər və yaddaşı analiz üçün saxlayın Bunla yanaşı Linux sistemində müxtəlif log faylları hücumların dəlillərini tapa biləcəyiniz yerlərdir daha ətraflı isə aşağıdakı qovluqlarda yerləşən log fayllarında məlumatlara ətraflı abxa bilərsiniz.
/var/log/auth.log və ya /var/log/secure: Giriş cəhdləri. /var/log/syslog və ya /var/log/messages: Sistem hadisələri. /var/log/dmesg: Kernel mesajları. /var/log/nginx/ və ya /var/log/apache2/: Veb server logları.
Yaxşı log fayllarına girdik nələr maraqlıdır bizə nəyə baxacağıq Log fayllarında axtarılmalı dəlillər hansılardır?
Şübhəli IP-lərdən gələn çoxsaylı giriş cəhdlərinə baxmaq,Girişə uğurla nail olan şübhəli istifadəçi adlarına baxmaq, Sistem proseslərində qeyri-adi fəaliyyətlər.Proseslərin və servislərin təhlil etmək üçün ps aux və ya top Şübhəli prosesləri aşkar etmək,netstat -tulnp və ya ss -tulnp Açıq portlar və şübhəli şəbəkə bağlantılarını yoxlayın və sonra isə lsof Fayllara hansı proseslərin çıxışı olduğunu müəyyən etmək lazımıdr.
Fayl sistemində dəyişikliklərin təhlil etmək üçün shasum və ya md5sum faylların bütövlüyünü yoxlamaq lazımdır. find / -mtime -n: son vaxtlarda dəyişdirilən və yaradılan faylları tapmaq lazımdır ki, kim tərəfindən nə dəyişiklik olduğu haqqında chkrootkit və ya rkhunter: Rootkitləri və digər zərərli proqramları aşkar etmək üçün istifadə olunur /etc/passwd və /etc/shadow gözlənilməz istifadəçi hesabları.Növbəti analizlərədn biridə şəbəkə trafikini analiz etmək lazımdır.tcpdump və ya Wireshark şəbəkə trafiki üzərində dərin analiz aparmaq,və iptables logs ilə gələn və gedən trafikin izlənməsi lazımdır.Əgər zərərli proqramalrdan şüpələnirsinizsə Malware Scan ilə Linux sistemlərində zərərli proqramların müəyyənləşdirilməsi üçün istifadə olunan vasitələr aşağıdakı siayhidakı kimdir.
ClamAV: Məlumatları viruslara qarşı skan edir. chkrootkit: Rootkitləri və zərərli kodları aşkarlamaq üçün. rkhunter: Rootkit və arxa qapıların aşkarlanması.
Fayl bütövlüyü təhlükəsizliyinin yoxlanılması üçün Aide və ya Tripwire kimi alətlərlə sistemin əvvəlki vəziyyəti ilə müqayisə etmək üçün fayl bütövlüyü yoxlanılır. Bu, hansı faylların dəyişdirildiyini göstərir.
Xaker hücumundan sonra təhlükəsizlik yaxşılaşdırmaları üçün Təhlükəsizlik yamaları tətbiq edin zəifliklərin bağlanması üçün sistem və proqramları yeniləyin, güclü parol siyasəti tətbiq edin,İki faktorlu autentifikasiyanı aktivləşdirin,SSH girişini məhdudlaşdırın, sonra isə default portu dəyişin,Root istifadəçi ilə girişə icazə verməyin,Yalnız icazə verilmiş IP-lərə girişə icazə verin.Bu qaydaları etdikdən sonra Fail2ban və ya iptables istifadə edin ki, şübhəli giriş cəhdlərini avtomatik bloklamaq üçün. Auditd aktivləşdirin bütün sistem fəaliyyətlərini loglamaq üçün lazımdır.Sistemlərinizə hücumların qarşısını almaq üçün mütəmadi olaraq analiz və auditlər aparmaq çox vacibdir. aşağıda qeyd olunan tool və scriptlər üçün siyahıya baxa bilərik.
Lynis – Təhlükəsizlik auditi və zəifliklərin aşkarlanması. OSSEC – Host əsaslı təhlükəsizlik monitorinqi. Splunk və ya ELK Stack – Təhlükəsizlik loglarının toplanması və analizi üçün.
