Hoe weet je dat je Unix machine is gehackt?
Soms denk je dat je computer of server is gehackt, maar hoe kun je dit nu met zekerheid zeggen? Als je een webserver of login server draait, is het vaak lastig om te zeggen of je met een beveiligingsincident te maken hebt. Vreemd verkeer kan bijvoorbeeld legitiem zijn. Als de server massaal UDP pakketten verstuurd, dan is het wel duidelijk dat de machine meehelpt met een DoS-aanval, in veel gevallen is een compromittering echter niet zo duidelijk.
Via het lsof commando kun je kijken welke processen er draaien en bestanden gebruikt worden. Dit is echter de eerste stap, waarna de beheerder moet kijken welke poorten er open staan, of een gebruiker of het root account is gehackt en of systeembestanden zijn aangepast, zo beschrijft dit artikel in vogelvlucht.
Is dit nieuws ??
aan de andere kant mis ik het verhaal dat chkrootkit en lsof
(enz) gebruikt moeten worden vanaf een read-only media,
zodat de output te vertrouwen is.
proces haalt en in quarantaine stelt. Zolang je de server in
je productie omgeving laat staan is deze een mogelijk
gevaar. Ook het inlichten van eventuele authoriteiten
(management, politie, etc) wordt hier niet besproken, iets
wat toch wel degelijk aan de orde hoort te zijn.
Just my 2 cents.
-Jeroen
http://www.ossec.net/
AIDS (Advanced Intrusion Detection Software) is Host-Based
(Linux) en een fork van Tripwire.. Ossec ook met als
voordeel dat het ook gratis beschikbaar is voor Windows
gebruikers maar geen malware, spyware o.i.d. bevat ;-P..
Dus gebruik je Windows, vergeet vooral niet op alle
tekst-linken te klikken die je ziet en alle andere klikbare
teksten die je tegenkomt.
Udp word ook door voip gebruikt, dus is het wel noodzaak te
weten welke toepassing welke poort gebruikt.
en dns, en nfs, om maar wat te noemen.
Wat ik een beetje mis: Er word gesproken over rootkits, maar
aan de andere kant mis ik het verhaal dat chkrootkit en lsof
(enz) gebruikt moeten worden vanaf een read-only media,
zodat de output te vertrouwen is.
Wie zegt dat de kernel te vertrouwen is?
Wat ik een beetje mis: Er word gesproken over rootkits, maar
aan de andere kant mis ik het verhaal dat chkrootkit en lsof
(enz) gebruikt moeten worden vanaf een read-only media,
zodat de output te vertrouwen is.
Wie zegt dat de kernel te vertrouwen is?
wijzigen volgens mij. Dus lijkt me die wel te vertrouwen.
Als je machine niet gereboot is kan je de kernel niet zomaar
wijzigen volgens mij. Dus lijkt me die wel te
vertrouwen.
Het is mogelijk om de kernel on-the-fly te patchen zonder
een reboot via /dev/kmem, /dev/mem, lkm's of via een kernel
vulnerability. Userland rootkits zijn al jaren uit :-)
been tampered with.
niets meer kunt vertrouwen.
een reboot via /dev/kmem, /dev/mem, lkm's of via een kernel
vulnerability. Userland rootkits zijn al jaren uit :-)
meer te vertouwen. Booten vanaf andere media (cd bijv.) en
scannen met zoiets als tripwire is de enige manier om er
achter te komen dat er daadwerkelijk iets gewijzigd is aan
je systeem. Maar ja, dan moet je wel een keertje een
baseline hebben gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
