Как выявить взломали сервер или нет?

Question

[Olfaer]

Всем привет. недавно на своём сервере заметил чрезмерную активность в сети хоть у меня установлено много сервисов но активности не должно было быть так как ip как и домен я нигде почти не светил
подскажите способы полного мониторинга сети в linux debian 10 ?
и как можно выявить взлом если таковой имеется ?

Comments

[Владимир]

Судя по вопросу тебе ещё рановато выставлять свои сервера наружу. И (дружеский совет) перестань это делать. Когда придёт понимание что делаешь, тогда и начинай.

[Olfaer]

Владимир, забавно ))) а как это понимание должно ко мне придти ? ))) килотонны книг прочитать ? как-то же я научился переустанавливать Windows (был свидетелем расцвета XP ) ))) как-то же я научился работать с консольным linux хоть и не полностью и это сложно мне всегда помогали и вот так я учился если я спрашиваю совета значит хочу научиться и если мне хабр не поможет то буду искать (учителя) дальше пока не найду раньше мне помогал skripter.info сейчас там пустыня
спасибо за совет но о каких "серверах" идёт речь ? я купил сервер для себя поднял сервисы для себя сервак Minecraft-a я тоже поднял для себя надо же как-то учиться и совершенствовать навыки жаль учителей нормальных мало только советчиков полно которые раздают такие советы я не знаю чего они хотят добиться да мне как-то пофиг

Answer 1

[CityCat4]

Здесь по идее должен быть патч Бармина :) Но не будет, потому как ведь на самом деле воспользуется :)

Answer 2

[xmoonlight]

хоть у меня установлено много сервисов .... подскажите способы полного мониторинга сети в linux debian 10

Сели в машину, нажали на ГАЗ, а как рулить и притормаживать - не знаете?)))

Ntopng (how-inst)

Ntopng is a free, open-source and very useful network monitoring tool that can be used to monitor network traffic in real-time. It is a high-performance, low-resource and next generation version of the original ntop based on libpcap. It is Cross-platform and runs on every Unix platform, MacOSX and Windows. ntopng monitors and reports various protocols including, TCP, UDP, ICMP, DLC, IPX, ARP, Netbios, Decnet and many more.

Features

Geolocation of IP addresses
Show the network traffic and IPv4/IPv6 hosts
Analyze the traffic and sort it according to the source/destination
Store traffic statistics in RRD format
Report and sort IP protocol usage by protocol type

Comments

[Olfaer]

он же вроде платный

[xmoonlight]

Olfaer, Да-ладно?)) https://github.com/ntop/ntopng

[Olfaer]

как оказалось "рулить" сервером сложнее ))) хоть и очень старым

[xmoonlight]

Olfaer, старым?! Debian 10 ?!))

[Antonio Solo]

Olfaer, если есть возможность избежать "руления сервером" - то этого лучше избежать любой ценой. Особенно если даже для решения таких простых вопросов вам приходится идти за советом.
это я вам как бывший хостер говорю.

ps. если конечно перед вами нет цели стать профессиональным админом

[Olfaer]

Antonio Solo, конкретной цели нет но ооочень сильное желание

Answer 3

[AUser0]

Трафик? Посмотрите хотя-бы /var/log/auth.log, туда некоторые службы складывают события авторизации, в том числе попытки взлома/подбора пароля. Может вас просто сетевые сканеры долбят, пытаются проломить, вот и трафик...

Узнать, не взломали-ли? Можно проверить бинарники установленных программ утилитой debsums на случай их модификации. Антивирусники под UNIX-like тоже существуют, можно воспользоваться.

Comments

[Olfaer]

спасибо за ответ без советов как некоторые коментаторы выше )) логи на досуге почитаю хотя не факт что там будет инфа о взломе (хороший преступник хорошо заметает следы)

[Olfaer]

Забавно ))) судя по логам кто-то методом подбора Mail ящиков пытается получить доступ к Dovecot IMAP/POP3 Server и сейчас пытается
Jan 29 23:10:12 сайт auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=aruna@сайт.by rhost=92.118.38.40
Jan 29 23:10:25 сайт sshd[3138]: Connection closed by 177.10.197.141 port 45362 [preauth]
Jan 29 23:10:29 сайт auth: pam_unix(dovecot:auth): check pass; user unknown

[AUser0]

Из консоли можно посмотреть на трафик, таких программ полно. Рекомендую iptraf, она есть в репозитории Debian-а. Увидите трафик - поймёте, с каким сервисом идёт работа, и откуда именно подключились...

И поставьте fail2ban, сконфигурируйте, очень сильно поможет против диких сканов/подборов. Ещё есть утилита AIDE, это сторонний аналог debsums. Но её нужно запускать на чистой системе, а сейчас, когда есть подозрение - уже поздно.

Answer 4

[profesor08]

Учитывая такую чехорду, то взламывать никому ничего не пришлось. Ты все сам сделал. Закрой все порты, кроме портов доступа к серверу, потом открой нужные. Все посторонние входящие/исходящие блокируй.

Comments

[Olfaer]

сервер стоит дома и порты открываю только те что используют сервисы открываю их в роутере

[xmoonlight]

profesor08, Вообще не факт.. может там проблема в коде сервиса (где непосредственно биндовка к порту) или в коде приложения сервиса (например, в скрипте PHP и т.п.).

[Olfaer]

xmoonlight, блин ((( тогда это проблема