Seguridad

Cómo comprobar si su servidor Linux ha sido pirateado

Los servidores SSH de Linux son particularmente vulnerables a los ciberatacantes. Su capacidad para proporcionar acceso remoto a la línea de comandos los convierte en un conducto importante para controlar y administrar las operaciones del servidor.

Por lo tanto, este acceso remoto los designa como un valioso punto de entrada para quienes intentan explotar o comprometer servicios críticos.

Los administradores de servidores pueden ejecutar actualizaciones, aplicar parches y utilizar menos puertos estándar para frustrar a los piratas informáticos, pero ¿cómo saben si hay un enemigo cerca?

Detectar signos de piratería

Muchos trucos no son sofisticados. La mayoría son causados ​​por ataques automatizados por botnets o «script kiddies» que explotan código malicioso preexistente.

Estos ataques van desde ataques de denegación de servicio (DoS) hasta el control de servidores para la distribución de spam o la extracción de criptomonedas, lo que pone de relieve la diversidad de las amenazas cibernéticas.

Tal actividad representa una planificación intrincada y un abuso oportunista de vulnerabilidades bien conocidas, lo que grava significativamente los recursos del sistema.


Los signos de compromiso, como retrasos en el correo electrónico, interrupciones en la transmisión de medios o una desaceleración significativa del servidor, son signos de un posible acceso no autorizado. Identificar estas señales a tiempo le permitirá actuar rápidamente.

Afortunadamente, existen algunos pasos sencillos que puede seguir para verificar la seguridad de su servidor. Los siguientes pasos pueden ayudar a garantizar que la integridad de su servidor permanezca intacta.

Paso 1. Verifique los inicios de sesión activos

Si un delincuente piratea su servidor, es posible que aún esté conectado. La forma más sencilla de comprobar si este es el caso es conectarse a su servidor Linux a través de SSH y ejecutar:

w

Este simple comando de una letra muestra otros usuarios conectados y sus horas de inicio de sesión. Idealmente, esto indicará que no hay otros usuarios conectados excepto usted (como se muestra en la imagen).

Si ejecuta el comando «w», podrá ver las direcciones IP de otros usuarios conectados a través del campo «DESDE».puedes usarlo Quién es directiva para determinar dónde se registra inicialmente la propiedad intelectual:

Organización Mundial de la Salud8.8.8.8

También puede ver información sobre el usuario que inició sesión y cualquier proceso activo que esté ejecutando:

quien tú

Paso 2. Verifique la información de inicio de sesión anterior

Si ningún usuario desconocido ha iniciado sesión actualmente en el servidor, también debe verificar los registros de inicio de sesión del servidor. La forma más sencilla es ejecutar:

Último

El resultado de este comando de shell mostrará el nombre de usuario, la dirección IP y la hora de inicio de sesión del usuario anterior.

Verifique la información de inicio de sesión anterior

Si no conoce al usuario, como «gremlin» en la imagen de arriba, puede volver a ejecutar el comando con su nombre de usuario para ver solo sus registros de inicio de sesión, por ejemplo:

el ultimo duende

También puedes intentar rastrear su ubicación usando nuevamente el comando «whois» en la dirección IP de inicio de sesión.

Si un usuario no está autorizado, puede finalizar su sesión SSH y cualquier proceso asociado con su nombre de usuario usando el siguiente comando matarPor ejemplo:

sudo pkill -U gremlin

al correr Último comando, notarás que la última línea de salida hace referencia a «wtmp», por ejemplo:

«wtmp comenzó el miércoles 7 de febrero de 2024 a las 16:47:08»

Asegúrate de prestar mucha atención a la fecha y la hora.Si es reciente, es posible que el hacker lo haya eliminado. /var/log/wtmpque almacena intentos de inicio de sesión recientes para cubrir sus huellas.

Paso 3. Verifique los comandos anteriores

Si encuentra un usuario no reconocido, debe verificar qué comandos se ejecutaron.La lista se almacena en ~/.bash_historypuedes visualizarlo desde la terminal ejecutando el siguiente comando:

gato~/.bash_history

Consultar comandos anteriores

Normalmente, verá una larga lista de comandos aquí.Preste mucha atención a los comandos comunes como Instalar, onduladoo Obtenerque se puede utilizar para descargar e instalar malware.

Si la terminal le dice que no existe dicho archivo o directorio, es posible que el pirata informático haya eliminado la lista para ocultar rastros del comando que estaba ejecutando.

Paso 4. Examinar los procesos más intensivos

Entendemos que los piratas informáticos que comprometen los servidores a menudo inician procesos intensivos en el sistema, como la instalación de programas diseñados para extraer criptomonedas.

Puede verificar si este es el caso usando el siguiente comando arriba Comando: una utilidad integrada de Linux que proporciona una vista dinámica en tiempo real del rendimiento del sistema.

Examinar los procesos más intensivos.

La información aquí puede parecer abrumadora, así que primero concéntrese en la columna Comando, que enumera los nombres de los procesos activos. Si ve algo que no reconoce, tome nota de su PID (ID de proceso). Cuando termine, use Ctrl + C para salir.

La primera y más sencilla prueba que puede ejecutar en un proceso no reconocido es ejecutar su nombre en un motor de búsqueda. Por ejemplo, una búsqueda en Google de «proceso fish linux» revela que el proceso enumerado anteriormente es simplemente un shell de línea de comandos fácil de usar.

También puede descubrir a qué archivos ha accedido un proceso específico usando el siguiente comando rasov y el ID del proceso, por ejemplo:

lsof-p 772

Paso 5. Verifique todos los procesos del sistema

Si los piratas informáticos son inteligentes, se asegurarán de que los programas que instalen no consuman demasiados recursos del sistema en un intento de pasar desapercibidos.Por lo tanto, los procesos que inician pueden no aparecer en el arriba Orden. Para verificar todos los procesos en ejecución, use:

Accesibilidad

Este comando organiza lógicamente los procesos en ejecución. Las columnas aquí se explican por sí solas. El ID de proceso (PID) y el uso de CPU y memoria se enumeran nuevamente como un porcentaje del sistema general.

Verificar todos los procesos del sistema

Vuelva a verificar la barra de comandos.Si no reconoces algún proceso utiliza un buscador y rasov Identifícalos como en el paso anterior. Utilice Ctrl + C para salir.

Paso 6. Verifique los procesos de la red

Los piratas informáticos expertos a veces instalan puertas traseras configuradas únicamente para escuchar más instrucciones. Consumen recursos mínimos de CPU/sistema y, por lo tanto, se ignoran fácilmente.

Por razones de seguridad, asegúrese de enumerar todos los procesos que están escuchando conexiones de red ejecutando el siguiente comando:

sudo lsof -i

Verificar proceso de red

Mire al final de cada entrada para ver si el proceso está en modo «escucha», es decir, esperando una conexión. Si no reconoce el nombre del proceso, intente utilizar el método descrito en el paso 4 para encontrar más información sobre el proceso.

Paso 7. Terminar los procesos no autorizados

Si detecta un proceso sospechoso, puede eliminarlo inmediatamente usando el siguiente comando: matar Comando y PID:

sudo matar-9 2046

Terminar procesos no autorizados

Si un programa inicia varios procesos, puede eliminarlos todos usando el siguiente comando Matarlos a todos:

sudo matar peces

si te piratean

Después de ver los usuarios que iniciaron sesión, el historial de comandos y los procesos activos, y cree que su servidor ha sido pirateado, puede apagarlo de forma remota usando el siguiente comando:

sudo apagado -h ahora

Si alquila espacio de servidor a un tercero, también puede desactivarlo a través del panel del portal del proveedor. Desde aquí, puede borrar y reinstalar el servidor si es necesario.

Consulta a un experto en ciberseguridad

Si sospecha que su servidor se ha visto comprometido, especialmente si su empresa maneja datos confidenciales, es fundamental buscar la experiencia de un profesional de ciberseguridad.

Los expertos en seguridad informática pueden realizar una auditoría de seguridad integral, determinar el alcance total de la vulnerabilidad y recomendar acciones que no sólo corregirán la vulnerabilidad actual sino que también mejorarán sus defensas contra ataques futuros.

Recuerde, los signos de un hackeo suelen ser sutiles, pero el impacto puede ser profundo. Trabajar con un experto en ciberseguridad no sólo ayudará a abordar eficazmente los problemas de seguridad inmediatos, sino que también ayudará a construir un marco sólido para proteger sus activos digitales a largo plazo.

LEER  Mozilla ofrece un servicio gratuito para compartir archivos de forma segura

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba