Behandlung kompromitierter Systeme
Zur Navigation springen
Zur Suche springen
Anmeldungen am System
- Ist noch jemand eingelogt?
- w
- Wer wann eingelogt?
- last
- Wer war schon einmal eingelogt?
- lastlog
Kontrolle Auslastung / Performance
- Auslastung?
- top
Kontrolle von Verzeichnissen
- inklusive versteckter Dateien
- Augenmerk auf Datum von Dateiänderungen, Eigentümer von Dateien, auffälligen Namen
- ls -Qartl
- /tmp/
- /root/
- /home/*
- /var/www/
- ...
- seltsame Dateinamen
- ls -lQ /usr/bin/smbd*
-rwxr-xr-x 1 root root 0 Aug 11 16:54 ""/usr/bin/smbd -D"
- ls -l ttyo*
-rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoa -rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyob -rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoc
Kontrolle Logdateien
- /var/log/auth
- /var/log/syslog
- Beispiele
- grep -i accepted /var/log/auth.log
Kontrolle der laufenden Prozesse
- top
- ps
- pstree
Kontrolle der offenen Ports
Server Ports
- tcp
- netstat -ltnp
- udp
- netstat -lunp
- unix
- netstat -lxnp
Offene Verbindungen
- tcp
- netstat -tnp
- udp
- netstat -unp
- unix
- netstat -xnp
Kontrolle crontabs
- crontab -l
- crontab -l -u benutzername
- /etc/cron*
Kontrolle der History von root und Benutzern
~/.bash_history
Kontrolle Schnittstellen
- Promisc Mode
- ip link show eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500
link/ether 96:00:00:4b:da:0a brd ff:ff:ff:ff:ff:ff