Скомпрометирована ли моя система или уязвима для атак
Журналы, вероятно, идут в системный журнал, который зависит от того, какой демон системного журнала задействован и как он настроен для ведения журнала. Начните с
grep -r cron /etc/*syslog*
, чтобы узнать, где и что происходит в системе, или для каждого derobert в разделе systemd , соответствующая команда:
journalctl -b 0 _SYSTEMD_UNIT=cron.service
Добавление тестового задания cron, которое касается файла (в идеале не в / tmp , если поставщик не делает это для каждого пользователя частным по соображениям безопасности), также следует подтвердить независимо от того, работает cron или нет, просто обязательно удалите задание test cron, прежде чем оно заполнит раздел или что-то глупое.
Другие указатели на удобство использования и безопасность: некоторые демоны cron могут запускать скрипты напрямую, и в этом случае вы можете просто скопировать скрипт в /etc/cron.daily , хотя это может не подходить для того, что вам не подходит. хочу бежать (со всем остальным!) точно в час. root запуск сценария в домашнем каталоге пользователя может быть очень плохим, поскольку компрометация учетной записи пользователя может быть использована для корневого доступа, или сценарий может без нужды завершиться ошибкой, если домашний каталог находится на NFS или зашифрован ; переместите сценарий в другое место, чтобы избежать этого ( / root / bin , или где-нибудь под / usr / local или / opt в зависимости от настроек локальной файловой системы).
Еще больше указателей относится к сфере отладки сценариев оболочки, главным образом для того, чтобы отметить, что cron не является оболочкой; используйте env или set , чтобы увидеть, что установлено в cron, проверьте правильность ПУТЬ и т. д.(Одна старая и ужасная ошибка ядра Linux связана с аварийным завершением работы демонов Java, но только в том случае, если они запускаются из cron; это было весело отлаживать ...)
Для начала вы должны указать, какой * nix вы используете. На какой версии? Какие службы запущены на вашем компьютере?
Что касается Недавно один из моих друзей использовал мою систему Linux с возвратом, поэтому мне пришлось отформатировать ее. Я не могу подобрать слов. Честно говоря, я не уверен, почему вы думаете, что переустановка вашей системы в прежнем виде решит исходную проблему. (Потому что, скорее всего, этого не произойдет.)
Также: откуда вы знаете, что он действительно использовал вашу машину? Потому что он так утверждал? Вы столкнулись с чем-то, чего не должно было случиться?
Что касается вашего снимка экрана (вы должны были вставить вывод терминала, так как довольно сложно определить, где начинается и где заканчивается строка), я вижу, что вы используете файловый сервер ( SAMBA ) и общедоступный сервер печати ( CUPS ). (Не принимая во внимание то, что у вас могут быть некоторые правила брандмауэра.)
Я не уверен, действительно ли вы этого хотите (возможно, нет), и поэтому я бы исправил их.
Что касается будущего, если вы собираетесь задавать подобные вопросы, имейте в виду, что нам потребуется гораздо больше информации, чем то, что вы дали.
То есть:
Полные выходные данные uname -a ; ifconfig -a ; netstat -nlp ; iptables -L ;
сервис --status-all ; и, возможно, еще несколько.
Моя система скомпрометирована
или уязвима для атак
Любая включенная система уязвима для атак той или иной природы.Существует множество моделей безопасности, начиная от «необходим воздушный зазор между Интернетом и локальной сетью, на которой установлена эта система», чтобы «доверять чему-либо в вашей локальной сети», и заканчивая «полным нулевым доверием - предположим, что все уже скомпрометировано».
все еще эксплуатируется
Чтобы полностью предотвратить поступление трафика в порт, вам необходимо заблокировать его с помощью iptables .
Взломанная система обычно отправляет или принимает сетевой трафик, которого не следует. Вы не можете на 100% достоверно сказать, что не происходит изнутри системы, которую вы считаете скомпрометированной, но вы можете найти доказательства того, что это внутри этой системы.
Изучите такие инструменты, как iftop и т.п., но если вы не знаете, какова «базовая» сетевая активность вашей системы, вам не с чем сравнивать.
Обратите внимание, что есть много способов использовать систему помимо открытых портов.
или открыт
Не запускайте ненужные службы. Глядя на ваш netstat выше, вам нужно, чтобы CUPS работал? Вам нужна работающая Samba ( smbd )? Вам нужно запустить Avahi?
FWIW Вышеупомянутое выглядит как типичная установка по умолчанию для некоторых настольных дистрибутивов. Это не выглядит необычным, но на самом деле netstat - это только верхушка айсберга. Удалите то, что вы не используете, если вы беспокоитесь о безопасности.
и как предотвратить взлом.
Это сложная тема, которой эксперты посвящают свою жизнь, но вот некоторые общие моменты в качестве начала для дальнейшего исследования с вашей стороны:
- Блокируйте все, кроме портов, на которые вы действительно собираетесь для работы с
iptables. - Не запускайте и не устанавливайте ненужное программное обеспечение.
- Выбирайте хорошие пароли. Меняйте их периодически.
- Не запускайте с правами root без необходимости. Сведите к минимуму время, которое вы проводите как root.
- Попробуйте добавить статические записи ARP для известных систем в вашей сети.
- Если вы можете использовать статический IP-адрес и не полагаться на DHCP для настройки сети, сделайте это.
- Отключите IPv6, если вы его не используете. Если у вас есть возможность запускать IPv6, только вы должны.
- По возможности используйте полное шифрование диска.
- Заблокируйте систему, когда вы уходите от нее.
- Выключайте систему, если вы ее не используете.
- Примените обновления безопасности как можно скорее.