🚨 Взломали сервер? 10 команд для поиска следов хакера
Привет, кибер-детектив!
Подозреваешь, что сервер скомпрометирован? Держи шпаргалку из топового выступления по Linux Forensics. Это реальные команды, которые используют профи при расследовании инцидентов.
🔍 10 команд для быстрого анализа:
📌 Где искать артефакты взлома:
🖥️ Система:
-
-
-
-
📝 Логи (/var/log/):
-
-
-
-
🔐 Закрепление в системе:
🌐 Сеть:
-
-
-
👤 Пользователи:
💾 Временные директории (любимые места хакеров):
-
-
-
💡 Про-совет:
Сохрани все метки времени для форензики:
🚀 Быстрая проверка:
1. Смотри процессы и порты
2. Проверяй cron и systemd
3. Изучай историю команд
4. Ищи свежие файлы в /tmp
Помни: хакеры часто оставляют следы в самых очевидных местах!
____________________
Дополнительный материал:
🧠 - Linux Systemd SOS: Как остановить неисправные процессы
🧠 - Linux Systemd: Навигация по уровням запуска и целям
🧠 - История Shadow Password Suite: Революция безопасности паролей в Linux от Джулианной Фрэнсис Хо
#security #forensics #Linux #incident #DevOps #hacking
Привет, кибер-детектив!
Подозреваешь, что сервер скомпрометирован? Держи шпаргалку из топового выступления по Linux Forensics. Это реальные команды, которые используют профи при расследовании инцидентов.
🔍 10 команд для быстрого анализа:
# Древо процессов — ищем подозрительное
ps auxwf
# Открытые порты (plunto = PLease UNTo)
ss -tupln
netstat -plunto
# История входов — кто и когда заходил
last -Faiwx
# Свежие изменения файлов за 2 дня
find / -mtime -2 -ls
# Открытые файлы прямо сейчас
lsof -V
# Файлы по времени изменения
ls -lta
# Детальная инфа о файле
stat <file>
📌 Где искать артефакты взлома:
🖥️ Система:
-
/proc/version — версия ядра-
/proc/mounts — что примонтировано-
/proc/[PID]/cmdline — с чем запущен процесс-
/etc/localtime — проверяем время (хакеры меняют!)📝 Логи (/var/log/):
-
auth.log / secure — попытки входа-
btmp — неудачные логины-
wtmp — все входы/выходы-
apt/history.log — что устанавливали🔐 Закрепление в системе:
# Cron задания — любимое место хакеров
ls -la /etc/cron.*
cat /var/spool/cron/*
# Автозагрузка служб
ls -la /etc/systemd/system/
ls -la /lib/systemd/system/
# История команд (проверь у всех юзеров!)
cat /home/*/.bash_history
cat /root/.bash_history
🌐 Сеть:
-
/etc/network/interfaces-
/var/lib/NetworkManager/*.lease-
/etc/sysconfig/iptables👤 Пользователи:
# Новые или изменённые аккаунты
cat /etc/passwd
cat /etc/sudoers
ls -la /etc/sudoers.d/
💾 Временные директории (любимые места хакеров):
-
/tmp-
/var/tmp-
/dev/shm💡 Про-совет:
Сохрани все метки времени для форензики:
find / -xdev -print0 | xargs -0 stat --printf="%i,%n,%x,%y,%z,%U,%G,%A,%s\n" > timestamps.dat
🚀 Быстрая проверка:
1. Смотри процессы и порты
2. Проверяй cron и systemd
3. Изучай историю команд
4. Ищи свежие файлы в /tmp
Помни: хакеры часто оставляют следы в самых очевидных местах!
____________________
Дополнительный материал:
🧠 - Linux Systemd SOS: Как остановить неисправные процессы
🧠 - Linux Systemd: Навигация по уровням запуска и целям
🧠 - История Shadow Password Suite: Революция безопасности паролей в Linux от Джулианной Фрэнсис Хо
#security #forensics #Linux #incident #DevOps #hacking
Telegram
Linux Skill - Освой Linux c нуля до DevOps
🚨🐧 "Linux Systemd SOS: Как остановить неисправные процессы" 🛠️🆘
Привет, герои системного администрирования и спасители зависших процессов! Сегодня мы погрузимся в мир systemd, чтобы научиться останавливать неисправные процессы, которые могут вызвать хаос…
Привет, герои системного администрирования и спасители зависших процессов! Сегодня мы погрузимся в мир systemd, чтобы научиться останавливать неисправные процессы, которые могут вызвать хаос…
👍27🔥3