Come controllo se il mio server è compromesso

Sempre più spesso i server subiscono tentativi di attacco, come facciamo a controllare.

Ecco una semplice guida.

Il primo comando da utilizzare è #last. Vi verrà visualizzato l’elenco delle ultime connessioni come amministratore con data ora ip è tempo di connessione.

Il secondo da utilizzare è #top anche se io preferisco #htop per visualizzare i processi attivi ed eventualmente individuare un processo malevolo.

Se individuate il processo potete usare il comando #pidoff processname ad esempio #pidof apache per stoppare il processo.

Un’altro step è quello di controllare i file di log alla ricerca di precedenti connessioni con il comando #tail -n 500 /var/log/secure | grep sshd per centos. Questo comando vi visualizza le ultime 500 connessioni in ssh per variare basta variare il numero 500 nel comando.

Un altro comando utilissimo per vedere cosa è stato fatto sul tuo server è #tail -n 100 ~/.bash_history | more, questo comando visualizza le ultima 100 operazioni fatte sul server. la varianete #tail -n 100 /home/username/.bash_history | more visualizza quelle di un utente specifico. Potete anche utilizzare #nano ~/.bash_history | more per muovervi con più semplicità.

Si passa poi al controllo delle attività in esecuzione schedulata con il comando #crontab -l per visualizzare la lista ed eventualmente #crontab -e per editare e cancellare.

Ultimo consiglio è una bella scansione con l’antivirus #yum install clamav-server clamav-data clamav-update clamav-filesystem
clamav clamav-scanner-systemd clamav-devel clamav-lib
clamav-server-systemd
questo è il comando per installarlo. Dopo effettuare #freshclam per aggiornare il database delle firme e infine il comando #clamscan –r / | grep FOUND >> /var/log/av/AvReport.txt per eseguire la scansione con il report

Questà è una guida introduttiva per ulteriori info non esitate a contattarmi.

Tags: