Hoe weet je dat je Unix machine is gehackt?
Soms denk je dat je computer of server is gehackt, maar hoe kun je dit nu met zekerheid zeggen? Als je een webserver of login server draait, is het vaak lastig om te zeggen of je met een beveiligingsincident te maken hebt. Vreemd verkeer kan bijvoorbeeld legitiem zijn. Als de server massaal UDP pakketten verstuurd, dan is het wel duidelijk dat de machine meehelpt met een DoS-aanval, in veel gevallen is een compromittering echter niet zo duidelijk.
Via het lsof commando kun je kijken welke processen er draaien en bestanden gebruikt worden. Dit is echter de eerste stap, waarna de beheerder moet kijken welke poorten er open staan, of een gebruiker of het root account is gehackt en of systeembestanden zijn aangepast, zo beschrijft dit artikel in vogelvlucht.
Is dit nieuws ??
aan de andere kant mis ik het verhaal dat chkrootkit en lsof
(enz) gebruikt moeten worden vanaf een read-only media,
zodat de output te vertrouwen is.
proces haalt en in quarantaine stelt. Zolang je de server in
je productie omgeving laat staan is deze een mogelijk
gevaar. Ook het inlichten van eventuele authoriteiten
(management, politie, etc) wordt hier niet besproken, iets
wat toch wel degelijk aan de orde hoort te zijn.
Just my 2 cents.
-Jeroen
http://www.ossec.net/
AIDS (Advanced Intrusion Detection Software) is Host-Based
(Linux) en een fork van Tripwire.. Ossec ook met als
voordeel dat het ook gratis beschikbaar is voor Windows
gebruikers maar geen malware, spyware o.i.d. bevat ;-P..
Dus gebruik je Windows, vergeet vooral niet op alle
tekst-linken te klikken die je ziet en alle andere klikbare
teksten die je tegenkomt.
Udp word ook door voip gebruikt, dus is het wel noodzaak te
weten welke toepassing welke poort gebruikt.
en dns, en nfs, om maar wat te noemen.
Wat ik een beetje mis: Er word gesproken over rootkits, maar
aan de andere kant mis ik het verhaal dat chkrootkit en lsof
(enz) gebruikt moeten worden vanaf een read-only media,
zodat de output te vertrouwen is.
Wie zegt dat de kernel te vertrouwen is?
Wat ik een beetje mis: Er word gesproken over rootkits, maar
aan de andere kant mis ik het verhaal dat chkrootkit en lsof
(enz) gebruikt moeten worden vanaf een read-only media,
zodat de output te vertrouwen is.
Wie zegt dat de kernel te vertrouwen is?
wijzigen volgens mij. Dus lijkt me die wel te vertrouwen.
Als je machine niet gereboot is kan je de kernel niet zomaar
wijzigen volgens mij. Dus lijkt me die wel te
vertrouwen.
Het is mogelijk om de kernel on-the-fly te patchen zonder
een reboot via /dev/kmem, /dev/mem, lkm's of via een kernel
vulnerability. Userland rootkits zijn al jaren uit :-)
been tampered with.
niets meer kunt vertrouwen.
een reboot via /dev/kmem, /dev/mem, lkm's of via een kernel
vulnerability. Userland rootkits zijn al jaren uit :-)
meer te vertouwen. Booten vanaf andere media (cd bijv.) en
scannen met zoiets als tripwire is de enige manier om er
achter te komen dat er daadwerkelijk iets gewijzigd is aan
je systeem. Maar ja, dan moet je wel een keertje een
baseline hebben gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.