Comments 6
Велкам к нам в тг @defhubcommunity там много интересного и полезного про кибербезопасность.
service --status-all
ifconfig
аж олдскулы свело...
может, если случилось страшное, сделать что-то типа mount -o remount,ro / или echo 1> /sys/block/sda/ro или ещё что-то подобное, чтоб не становилось хуже. потом кильнуть все подозрительные и ненужные процессы. И уже заниматься исследованием. ну и такому серверу больше доверять нельзя, его нужно переустановить с нуля в любом случае.
Добрый день! полезная рекомендация. Однако есть нюанс с точки зрения реагирования на киберинциденты - важно проанализировать всю имеющуюся фактуру на скомпрометированных серверах перед их вайпом, для того чтобы получить объективную информацию о реализованных механиках и задействованных в атаке компонентах инфраструктуры. Хорошей практикой является изоляция сервера на уровне сети, без отключения или вайпа сервера. Хотя на практике, мы обычно настраиваем на авто-респонс EDR (агент детектирования признаком компрометации - endpoint detection and response) на изоляцию хоста с использованием host-based firewall (в случае с Linux-based это, например, iptables ACL).
Идея для статьи хорошая, вот только по теме в статье ничего не увидел толком. Если уж и смотреть пользователей новых, то по времени создания пользователя. Зачем шедоу смотреть? Чтобы найти и попытаться подобрать пароль на основе хэш нового неизвестного пользователя? history less вам покажет ваши же команды. Если хотите команды другого пользователя, то в домашнем каталоге этого пользователя смотрите файл .bash_history. Команды ifconfig вообще нет в современных дистрибутивах - надо ставить net-tools, лучше уж привести пример на команде ip. И зачем искать файлы большого размера? Пэйлоды злоумышленников обычно наоборот маленькие. Возможен конечно вариант, когда человек вредоносный фильмец или игру загрузил, но это скорее не про Линукс, да и это может быть любой другой фал любого размера. Есть IOC-сканер Loki - я бы с него начал проверку на следы компрометации. Было бы интересно посмотреть на реальный инцидент с подобными командами.
Базовые действия по реагированию на инциденты кибербезопасности в Linux