التحقق من اختراق خادم Linux الخاص بك

قيادة الجيل التفاعل مع صانعي القرار في مجال تكنولوجيا المعلومات والمؤثرين الرئيسيين.
تقدم خدمات التسويق B2B من LinuxInsider عملاء محتملين جاهزين للمبيعات مما يؤدي إلى تقصير عملية المبيعات الخاصة بك. املأ مسار التحويل الخاص بك وقم بزيادة الإيرادات من خلال خبرتنا في مجال العملاء المحتملين. ابدأ اليوم.
تتميز خوادم Linux SSH، على وجه الخصوص، بالمهاجمين السيبرانيين. إن قدرتهم على توفير الوصول إلى سطر الأوامر عن بعد تضعهم كقنوات أساسية للتحكم في عمليات الخادم وإدارتها.

وبالتالي، فإن هذا الوصول عن بعد يصنفها كنقاط دخول ثمينة لأولئك الذين يعتزمون استغلال الخدمات الحيوية أو المساس بها.

يمكن لمسؤولي الخادم تشغيل التحديثات وتطبيق التصحيحات واستخدام عدد أقل من المنافذ القياسية لردع المتسللين، ولكن كيف يمكنك معرفة ما إذا كان العدو على الأبواب؟

اكتشف علامات الاختراق
العديد من الاختراقات ليست معقدة. وينتج معظمها عن الهجمات الآلية التي تقوم بها شبكات الروبوتات أو “البرامج النصية للأطفال” التي تستخدم تعليمات برمجية ضارة موجودة مسبقًا.

وتؤكد هذه الهجمات، التي تتراوح بين هجمات حجب الخدمة (DoS) والاستيلاء على الخوادم لتوزيع البريد العشوائي أو استخراج العملات المشفرة، على تنوع التهديدات السيبرانية.

تُظهر مثل هذه الأنشطة مزيجًا من المخططات المعقدة والاستغلال الانتهازي لنقاط الضعف المعروفة التي تفرض ضرائب كبيرة على موارد النظام.

Chetu لحلول البرمجيات ذات المستوى العالمي
علامات التسوية، مثل رسائل البريد الإلكتروني المتأخرة، أو البث المتقطع، أو التباطؤ الملحوظ في الخادم الخاص بك، هي مؤشرات على إمكانية الوصول غير المصرح به. إن الاعتراف بهذه الإشارات في وقت مبكر يمكّنك من التصرف بسرعة.

لحسن الحظ، هناك إجراءات مباشرة يمكنك اعتمادها للتحقق من أمان الخادم الخاص بك. فيما يلي خطوات للمساعدة في ضمان بقاء سلامة الخادم الخاص بك سليمة.

الخطوة 1. تحقق من تسجيلات الدخول النشطة
إذا قام أحد العناصر السيئة باختراق خادمك، فمن المحتمل أنه لا يزال مسجلاً للدخول. أسهل طريقة للتحقق مما إذا كانت هذه هي الحالة هي الاتصال بخادم Linux الخاص بك عبر SSH وتشغيل: W

يعرض هذا الأمر البسيط المكون من حرف واحد المستخدمين المتصلين الآخرين وأوقات تسجيل الدخول الخاصة بهم. من الناحية المثالية، سيُظهر هذا أنه لا يوجد مستخدمون آخرون قاموا بتسجيل الدخول إلى جانبك

إذا قمت بتشغيل الأمر “w”، فيمكنك رؤية عنوان IP للمستخدمين المتصلين الآخرين عبر الحقل “من”. يمكنك استخدام أمر whois لتحديد مكان تسجيل IP الأصلي:

whois 8.8.8.8

يمكنك أيضًا عرض معلومات حول المستخدمين الذين قاموا بتسجيل الدخول وأي عمليات نشطة يقومون بتشغيلها:

who -u

الخطوة 2. تحقق من تسجيلات الدخول السابقة
إذا لم يتم تسجيل دخول أي مستخدمين غير معروفين حاليًا إلى الخادم، فيجب عليك أيضًا التحقق من سجل تسجيل الدخول الخاص بالخادم الخاص بك. أسهل طريقة للقيام بذلك هي عن طريق تشغيل:

last

سيعرض الإخراج من أمر Shell هذا اسم المستخدم وعنوان IP وأوقات تسجيل الدخول للمستخدمين السابقين.

إذا لم تتعرف على المستخدم، كما هو الحال مع “gremlin” في الصورة أعلاه، فيمكنك إعادة تشغيل الأمر باستخدام اسم المستخدم الخاص به لعرض سجل تسجيل الدخول الخاص به فقط، على سبيل المثال:

last gremlin

يمكنك أيضًا استخدام أمر “whois” الموجود على عنوان IP الخاص بتسجيل الدخول مرة أخرى لمحاولة تتبع موقعهم.

إذا كان المستخدم غير مصرح به، فيمكنك إنهاء جلسة SSH الخاصة به وأي عمليات مرتبطة باسم المستخدم الخاص به باستخدام pkill، على سبيل المثال:

sudo pkill -U gremlin

عند تشغيل الأمر الأخير، ستلاحظ أن السطر الأخير من الإخراج يشير إلى “wtmp”، على سبيل المثال:

“يبدأ wtmp الأربعاء 7 فبراير 16:47:08 2024”

تأكد من إيلاء اهتمام وثيق للتاريخ والوقت. إذا كان حديثًا، فربما قام أحد المتسللين بحذف /var/log/wtmp، الذي يخزن محاولات تسجيل الدخول الأخيرة، لتغطية مساراتهم.

الخطوة 3. تحقق من الأوامر السابقة
إذا اكتشفت مستخدمين غير معروفين، فيجب عليك التحقق لمعرفة الأوامر التي تم تشغيلها. يتم تخزين هذه القائمة في ~/.bash_history، والتي يمكنك عرضها من الوحدة الطرفية عن طريق تشغيل:

~/.bash_history