rkhunter

Как проверить Linux-сервер на предмет взлома

Четверг, 10 февраля 2011 г.
Рубрика: *NIX_*BSD сиcтемы -> В помощь сисадмину
Метки: | | | | | | | |
Просмотров: 12686
Подписаться на комментарии по RSS

Как проверить Linux-сервер на предмет взлома, если закрались какие либо подозрения.

Но сразу скажу что все зависит от квалификации злоумышленника и значимости ресурса.

По крайне мере думаю,что для многих это будет полезно и познавательно. Для начало сканируем с другого хоста что у нас открыто из подозрительных открытых портов, при помощи утилиты nmap:

$ nmap -P0 -p 1-65505 XXX.XXX.XXX.XXX (или хост)
Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for host (XXX.XXX.XXX.XXX)
Host is up (0.0066s latency).
Not shown: 65499 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
1723/tcp open pptp
... ...

далее ...

Итак ISPConfig 3, это открытая система управления хостингом для Линукс серверов, распространяющаяся по лицензии BSD.Офсайт. Но главное, что этот скрипт кроме своей основной задачи (хостинга) позволяет легко поднять в небольшой организации и дома почтовый сервер, WEB сервер, FTP и DNS сервер! Кроме того позанимавшись с ним можно многому научиться!

Сам буду тестит на Debian 5.0 Lenny, но все приведенное подходит и для Ubuntu, при возникновении различий буду делать заметку.

1. Добавляем пользователя root. По умолчанию в Ubuntu отсутствует пользователь root, т.к. это неодобряется разработчиками Ubuntu и собществом по различным причинам. В системе имеется пользователь с привелигированными правами администратора, но для работы ISPConfig необходимо наличие пользователя root:

Ubuntu:

$ sudo su
$ sudo passwd root

Debian:

$ su
$ passwd root

2. Устанавливаем SSH сервер.

$ aptitude install ssh openssh-server

далее ...

Использована информация с Ubuntu Linux в Воронежской области