Manuelle Kontrolle: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 20: | Zeile 20: | ||
:/var/www/ | :/var/www/ | ||
:... | :... | ||
| + | ;seltsame Dateinamen | ||
| + | *ls -lQ /usr/bin/smbd* | ||
| + | -rwxr-xr-x 1 root root 0 Aug 11 16:54 "<span style=color:red>"/usr/bin/smbd -D"</span> | ||
| + | *ls -l /dev/ttyo* | ||
| + | <span style=color:red>-</span>rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoa | ||
| + | <span style=color:red>-</span>rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyob | ||
| + | <span style=color:red>-</span>rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoc | ||
=Kontrolle Logdateien= | =Kontrolle Logdateien= | ||
| − | + | :/var/log/auth | |
| − | */var/log/ | + | :/var/log/syslog |
| + | ;Beispiele | ||
| + | *grep -i accepted /var/log/auth.log | ||
=Kontrolle der laufenden Prozesse= | =Kontrolle der laufenden Prozesse= | ||
| Zeile 31: | Zeile 40: | ||
=Kontrolle der offenen Ports= | =Kontrolle der offenen Ports= | ||
| − | *netstat | + | ==Server Ports== |
| − | * | + | ;tcp |
| + | *netstat -ltnp | ||
| + | ;udp | ||
| + | *netstat -lunp | ||
| + | ;unix | ||
| + | *netstat -lxnp | ||
| + | ==Offene Verbindungen== | ||
| + | ;tcp | ||
| + | *netstat -tnp | ||
| + | ;udp | ||
| + | *netstat -unp | ||
| + | ;unix | ||
| + | *netstat -xnp | ||
=Kontrolle crontabs= | =Kontrolle crontabs= | ||
| Zeile 41: | Zeile 62: | ||
=Kontrolle der History von root und Benutzern= | =Kontrolle der History von root und Benutzern= | ||
~/.bash_history | ~/.bash_history | ||
| + | =Kontrolle Schnittstellen= | ||
| + | ;Promisc Mode | ||
| + | * ip link show eth0 | ||
| + | 2: eth0: <BROADCAST,MULTICAST,<span style=color:red>PROMISC,UP</span>,LOWER_UP> mtu 1500 | ||
| + | link/ether 96:00:00:4b:da:0a brd ff:ff:ff:ff:ff:ff | ||
| + | Hier sind ein paar **Ergänzungen**, die nützlich sein können, um weitere Manipulationen oder Hintertüren zu entdecken: | ||
| + | |||
| + | = Kontrolle verdächtiger Dateien und Rechte = | ||
| + | ; Set-UID und Set-GID Dateien prüfen (könnten für Privilege Escalation genutzt werden) | ||
| + | *find / -perm -4000 -o -perm -2000 -type f 2>/dev/null | ||
| + | |||
| + | ; Dateien mit ungewöhnlichen Berechtigungen oder Besitzern | ||
| + | *find / -nouser -o -nogroup 2>/dev/null | ||
| + | |||
| + | = Kontrolle laufender Dienste und verdächtiger Netzwerkverbindungen = | ||
| + | ; Dienste mit Root-Rechten auflisten | ||
| + | *systemctl list-units --type=service --state=running | ||
| + | |||
| + | ; Verbindungen zu ungewöhnlichen Ports überprüfen | ||
| + | *ss -pant | grep -v "ESTAB" | ||
| + | |||
| + | = Kontrolle von kürzlich installierter oder geänderter Software = | ||
| + | ; Neu installierte Pakete anzeigen | ||
| + | *rpm -qa --last # für RPM-basierte Systeme | ||
| + | *dpkg-query --list | sort -k3 # für Debian-basierte Systeme | ||
| + | |||
| + | = Kontrolle von Aliases und modifizierten Befehlen = | ||
| + | ; Prüfen, ob bekannte Befehle manipuliert wurden | ||
| + | *alias | ||
| + | *which ls ps netstat | ||
| + | |||
| + | = Kontrolle der Kernel-Module = | ||
| + | ; Verdächtige Kernel-Module auflisten | ||
| + | *lsmod | grep -vE "usb|snd|video|drm" | ||
| + | |||
| + | =Links= | ||
| + | *https://docplayer.org/7248498-Linux-in-der-computer-forensik.html | ||
Aktuelle Version vom 6. Februar 2025, 18:13 Uhr
Anmeldungen am System
- Ist noch jemand eingelogt?
- w
- Wer wann eingelogt?
- last
- Wer war schon einmal eingelogt?
- lastlog
Kontrolle Auslastung / Performance
- Auslastung?
- top
Kontrolle von Verzeichnissen
- inklusive versteckter Dateien
- Augenmerk auf Datum von Dateiänderungen, Eigentümer von Dateien, auffälligen Namen
- ls -Qartl
- /tmp/
- /root/
- /home/*
- /var/www/
- ...
- seltsame Dateinamen
- ls -lQ /usr/bin/smbd*
-rwxr-xr-x 1 root root 0 Aug 11 16:54 ""/usr/bin/smbd -D"
- ls -l /dev/ttyo*
-rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoa -rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyob -rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoc
Kontrolle Logdateien
- /var/log/auth
- /var/log/syslog
- Beispiele
- grep -i accepted /var/log/auth.log
Kontrolle der laufenden Prozesse
- top
- ps
- pstree
Kontrolle der offenen Ports
Server Ports
- tcp
- netstat -ltnp
- udp
- netstat -lunp
- unix
- netstat -lxnp
Offene Verbindungen
- tcp
- netstat -tnp
- udp
- netstat -unp
- unix
- netstat -xnp
Kontrolle crontabs
- crontab -l
- crontab -l -u benutzername
- /etc/cron*
Kontrolle der History von root und Benutzern
~/.bash_history
Kontrolle Schnittstellen
- Promisc Mode
- ip link show eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500
link/ether 96:00:00:4b:da:0a brd ff:ff:ff:ff:ff:ff
Hier sind ein paar **Ergänzungen**, die nützlich sein können, um weitere Manipulationen oder Hintertüren zu entdecken:
Kontrolle verdächtiger Dateien und Rechte
- Set-UID und Set-GID Dateien prüfen (könnten für Privilege Escalation genutzt werden)
- find / -perm -4000 -o -perm -2000 -type f 2>/dev/null
- Dateien mit ungewöhnlichen Berechtigungen oder Besitzern
- find / -nouser -o -nogroup 2>/dev/null
Kontrolle laufender Dienste und verdächtiger Netzwerkverbindungen
- Dienste mit Root-Rechten auflisten
- systemctl list-units --type=service --state=running
- Verbindungen zu ungewöhnlichen Ports überprüfen
- ss -pant | grep -v "ESTAB"
Kontrolle von kürzlich installierter oder geänderter Software
- Neu installierte Pakete anzeigen
- rpm -qa --last # für RPM-basierte Systeme
- dpkg-query --list | sort -k3 # für Debian-basierte Systeme
Kontrolle von Aliases und modifizierten Befehlen
- Prüfen, ob bekannte Befehle manipuliert wurden
- alias
- which ls ps netstat
Kontrolle der Kernel-Module
- Verdächtige Kernel-Module auflisten
- lsmod | grep -vE "usb|snd|video|drm"