История изменений
Исправление vbr, (текущая версия) :
Определить, что кто-то еще кроме меня залогинен на машине и паралелльно «работает»?
Штатно - w. Можно systemd покопать, там есть механизм сессий, наверняка можно его поспрашивать.
Как посмотреть, что какая-то программа или скрипт отсылает трафик наружу? То есть, посмотреть сетевую активность, которая происходит на сервере за моей спиной.
Надёжно - только на роутере, через который твой компьютер подключён к интернету. А так - tcpdump, конечно, если считать, что машина не скомпрометирована. Но там будет много всего, чтобы это разобрать и отфильтровать, придётся потратить какое-то время. Это без привязки к pid. Если тебе именно по pid надо - можешь попробовать strace, вроде там что-то подобное было.
Если да, то как ей пользоваться?
man tcpdump?
Какие логи перво-наперво заслуживают мониторинга, если Линуксовая машина – это веб-сервер, на котором nginx, mySql, nodejs? Мониторинг логов на проникновение извне – для этого.
Нормальные люди ставят всякие специальные системы. В первую очередь тебе нужно настроить постоянную выгрузку логов на другой компьютер. Наверное должно быть очевидно, что если твой компьютер взломали, то доверять логам, которые на нём хранятся, уже нельзя.
Какого-то простого способа нет. Если «хакер» заходит по ssh, то будет запись в /var/log/wtmp вроде бы, есть utmpdump для его парсинга.
Но если твой сервер взломали через удаленное выполнение кода, никаких записей нигде не будет. Такое определяется только по косвенным признакам, по необычной активности. И для этого нужны специальные системы, в которых кто-то уже вбил тысячи фильтров для выявления этой необычной активности.
Такие специальные системы, если что, называются Intrusion Detection System (IDS), стоят много денег и вообще это отдельная большая индустрия. А ещё более актуальны Intrusion Prevention System, это как IDS, только предполагается, что она срабатывает чуть раньше, чем тебя взломали и предотвращает взлом.
В интернете, в книгах – я не нахожу нормальной информации. Есть копипаста про cd, ls, … А именно нормальных приемов по работе с Линуксом я не вижу.
Полно информации, просто никто не смотрит руками это всё, пользуются конкретными системами, в которых это всё уже сделано.
Можешь почитать документацию по fortigate, например.
Исправление vbr, :
Определить, что кто-то еще кроме меня залогинен на машине и паралелльно «работает»?
Штатно - w. Можно systemd покопать, там есть механизм сессий, наверняка можно его поспрашивать.
Как посмотреть, что какая-то программа или скрипт отсылает трафик наружу? То есть, посмотреть сетевую активность, которая происходит на сервере за моей спиной.
Надёжно - только на роутере, через который твой компьютер подключён к интернету. А так - tcpdump, конечно, если считать, что машина не скомпрометирована. Но там будет много всего, чтобы это разобрать и отфильтровать, придётся потратить какое-то время. Это без привязки к pid. Если тебе именно по pid надо - можешь попробовать strace, вроде там что-то подобное было.
Если да, то как ей пользоваться?
man tcpdump?
Какие логи перво-наперво заслуживают мониторинга, если Линуксовая машина – это веб-сервер, на котором nginx, mySql, nodejs? Мониторинг логов на проникновение извне – для этого.
Нормальные люди ставят всякие специальные системы. В первую очередь тебе нужно настроить постоянную выгрузку логов на другой компьютер. Наверное должно быть очевидно, что если твой компьютер взломали, то доверять логам, которые на нём хранятся, уже нельзя.
Какого-то простого способа нет. Если «хакер» заходит по ssh, то будет запись в /var/log/wtmp вроде бы, есть utmpdump для его парсинга.
Но если твой сервер взломали через удаленное выполнение кода, никаких записей нигде не будет. Такое определяется только по косвенным признакам, по необычной активности. И для этого нужны специальные системы, в которых кто-то уже вбил тысячи фильтров для выявления этой необычной активности.
Такие специальные системы, если что, называются Intrusion Detection System (IDS), стоят много денег и вообще это отдельная большая индустрия.
В интернете, в книгах – я не нахожу нормальной информации. Есть копипаста про cd, ls, … А именно нормальных приемов по работе с Линуксом я не вижу.
Полно информации, просто никто не смотрит руками это всё, пользуются конкретными системами, в которых это всё уже сделано.
Можешь почитать документацию по fortigate, например.
Исходная версия vbr, :
Определить, что кто-то еще кроме меня залогинен на машине и паралелльно «работает»?
Штатно - w. Можно systemd покопать, там есть механизм сессий, наверняка можно его поспрашивать.
Как посмотреть, что какая-то программа или скрипт отсылает трафик наружу? То есть, посмотреть сетевую активность, которая происходит на сервере за моей спиной.
Надёжно - только на роутере, через который твой компьютер подключён к интернету. А так - tcpdump, конечно, если считать, что машина не скомпрометирована. Но там будет много всего, чтобы это разобрать и отфильтровать, придётся потратить какое-то время. Это без привязки к pid. Если тебе именно по pid надо - можешь попробовать strace, вроде там что-то подобное было.
Если да, то как ей пользоваться?
man tcpdump?
Какие логи перво-наперво заслуживают мониторинга, если Линуксовая машина – это веб-сервер, на котором nginx, mySql, nodejs? Мониторинг логов на проникновение извне – для этого.
Нормальные люди ставят всякие специальные системы. В первую очередь тебе нужно настроить постоянную выгрузку логов на другой компьютер. Наверное должно быть очевидно, что если твой компьютер взломали, то доверять логам, которые на нём хранятся, уже нельзя.
Какого-то простого способа нет. Если «хакер» заходит по ssh, то будет запись в /var/log/wtmp вроде бы, есть utmpdump для его парсинга.
Но если твой сервер взломали через удаленное выполнение кода, никаких записей нигде не будет. Такое определяется только по косвенным признакам, по необычной активности. И для этого нужны специальные системы, в которых кто-то уже вбил тысячи фильтров для выявления этой необычной активности.
Такие специальные системы, если что, называются Intrusion Detection System (IDS), стоят много денег и вообще это отдельная большая индустрия.
В интернете, в книгах – я не нахожу нормальной информации. Есть копипаста про cd, ls, … А именно нормальных приемов по работе с Линуксом я не вижу.
Полно информации, просто никто не смотрит руками это всё, пользуются конкретными системами, в которых это всё уже сделано.