Manuelle Kontrolle

Aus Xinux Wiki
Version vom 6. Februar 2025, 18:13 Uhr von Thomas.will (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Anmeldungen am System

Ist noch jemand eingelogt?
  • w
Wer wann eingelogt?
  • last
Wer war schon einmal eingelogt?
  • lastlog

Kontrolle Auslastung / Performance

Auslastung?
  • top

Kontrolle von Verzeichnissen

inklusive versteckter Dateien
Augenmerk auf Datum von Dateiänderungen, Eigentümer von Dateien, auffälligen Namen
  • ls -Qartl
/tmp/
/root/
/home/*
/var/www/
...
seltsame Dateinamen
  • ls -lQ /usr/bin/smbd*
-rwxr-xr-x 1 root root 0 Aug 11 16:54 ""/usr/bin/smbd -D"
  • ls -l /dev/ttyo*
-rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoa
-rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyob
-rwxr-xr-x 1 root root 147176 Aug 11 16:57 ttyoc

Kontrolle Logdateien

/var/log/auth
/var/log/syslog
Beispiele
  • grep -i accepted /var/log/auth.log

Kontrolle der laufenden Prozesse

  • top
  • ps
  • pstree

Kontrolle der offenen Ports

Server Ports

tcp
  • netstat -ltnp
udp
  • netstat -lunp
unix
  • netstat -lxnp

Offene Verbindungen

tcp
  • netstat -tnp
udp
  • netstat -unp
unix
  • netstat -xnp

Kontrolle crontabs

  • crontab -l
  • crontab -l -u benutzername
  • /etc/cron*

Kontrolle der History von root und Benutzern

~/.bash_history

Kontrolle Schnittstellen

Promisc Mode
  • ip link show eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 
   link/ether 96:00:00:4b:da:0a brd ff:ff:ff:ff:ff:ff

Hier sind ein paar **Ergänzungen**, die nützlich sein können, um weitere Manipulationen oder Hintertüren zu entdecken:

Kontrolle verdächtiger Dateien und Rechte

Set-UID und Set-GID Dateien prüfen (könnten für Privilege Escalation genutzt werden)
  • find / -perm -4000 -o -perm -2000 -type f 2>/dev/null
Dateien mit ungewöhnlichen Berechtigungen oder Besitzern
  • find / -nouser -o -nogroup 2>/dev/null

Kontrolle laufender Dienste und verdächtiger Netzwerkverbindungen

Dienste mit Root-Rechten auflisten
  • systemctl list-units --type=service --state=running
Verbindungen zu ungewöhnlichen Ports überprüfen
  • ss -pant | grep -v "ESTAB"

Kontrolle von kürzlich installierter oder geänderter Software

Neu installierte Pakete anzeigen
  • rpm -qa --last # für RPM-basierte Systeme
  • dpkg-query --list | sort -k3 # für Debian-basierte Systeme

Kontrolle von Aliases und modifizierten Befehlen

Prüfen, ob bekannte Befehle manipuliert wurden
  • alias
  • which ls ps netstat

Kontrolle der Kernel-Module

Verdächtige Kernel-Module auflisten
  • lsmod | grep -vE "usb|snd|video|drm"

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Manuelle_Kontrolle&oldid=58833