Linux palvelimet H5

a) Asenna SSH-demoni
Päivitetään paketit ja asennetaan koneeseen SSH komennoilla:
sudo apt-get update
sudo apt-get install -y ssh
b) Suojaa kone tulimuurilla, mutta tee ensin reikä SSH:lle
Tehdään reikä tulimuuriin SSH:lle komennoilla:
sudo ufw allow 22/tcp
sudo ufw enable
c) Siirrä tiedostoja ssh:lla
Testataan ssh:n toimivuutta siirtämällä tiedostoja ssh:lla. Ensin luodaan siirrettävä tiedosto, jonka jälkeen siirretään luotu tiedosto scp komennolla downloads kansioon.
cd
mkdir upload
mkdir download
cd upload
touch testisiirto
cd
scp upload/testisiirto lauri@174.138.1.155:/home/lauri/download
d) Automatisoi kirjatuminen julkisen avaimen menetelmällä
Luodaan avain ja siirretään tämä palvelimelle
ssh-keygen
ssh-copy-id lauri@174.138.1.155
sshkeygen.PNG
Avain toimii ja salasanaa ei kysytty.
j) Asenna ja konfiguroi ja käynnistä sysstat-paketti. Tarkista sar-komennolla, että se on päällä, esim. näyttää lokimerkinnän “Linux reboot…”. Anna sysstatin pyöriä päivä tai pari. Tutki kuormitushistoriaa sysstatin komennoilla sar, iostat, pidstat… Analysoi tulokset, eli selitä perusteellisesti mitä tulokset tarkoittavat.
Asensin sysstat ohjelman komennolla “sudo apt-get install -y sysstat”. Defaulttina datan keräys on pois päältä asennuksen jälkeen, joten kävin laittamassa tämän päälle.
sudoedit /etc/default/sysstat
ENABLED oli false jonka muutin true ja käynnistin ohjelman uudestaan komennolla
sudo service sysstat restart
Tämän jälkeen ohjelma oli päällä. Sysstat oli päällä muutaman tunnin.
Sar:
sar.PNG
Sar komento kuinka paljon prosessoria on käytetty eri tasoilla. Ohjelma näyttäisi ottavan snapshotin 10 minuutin välein prosessorin tilasta.
Iostat:
iostat.PNG
Iostat näyttää prosessorin käytön eri tasoilla ja levyn käytön tilan komennon anto hetkellä.
Pidstat
pidstat.PNG
Pidstat näyttää jokaisesta ohjelmasta joka on päällä tietoa prosessorin käytöstä, näiden ohjelmien pid:in, käyttöjärjestelmä id (UID).
i) (Ryhmä 7 tiistai varsinainen tehtävä, muille vapaaehtoinen): Ratkaise Scan of the Month 15. Katso vinkkejä Forensic File Recovery with Linux – Undelete. Älä katso malliratkaisua netistä, ellet ole jumissa, ja merkitse raporttiisi, jos katsoit. Kuva sisältää oikeaa haittakoodia, älä käsittele sitä arvokkailla tietokoneilla tai työnantajan tuotantoverkossa, äläkä aja siltä löytyviä ohjelmia. Kaikki vastaukset löytyvät kuvasta, tässä tehtävässä ei tutkita mitään muita järjestelmiä.
Latasin honeynet.tar.gz tiedoston palvelimelle ja loin kansion johon purin tiedoston. Asensin sleuthkit ohjelman jolla pystyn tutkimaan poistettuja tiedostoja. Seuraavaksi loin kansiot “allocated” ja “deleted” joihin purin tiedoston sleuthkit ohjelmalla.
mkdir allocated deleted
tsk_recover -a honeypot.hda8.dd allocated/
tsk_recover honeypot.hda8.dd deleted/
 Kun olin saanut purettua tiedostot, niin tein aikajanan tiedostosta
tsk_gettimes honeypot.hda8.dd > rawtimes
mactime -b rawtimes | less
Hyökkäys alkoi 15.3.2001, joten aloin selaamaan aikajanaa tästä kohdasta.
En löytänyt aikajanasta mitään epäilyttävää, mutta kun kävin poistettuja tiedostota läpi, niin löysin lk.tgz tar paketin joka poistettiin 16.3.2001 01:45:05, jonka sisältä löytyi installer ja ssh avain sekä asetustiedostoja, joilla on varmaan luotu backdoor tietokoneeseen. Installer tiedostossa mainitaan rootkit ja sen koodin kommentit on romaniaksi google kääntäjän mukaan.
rootkiit.PNG
Google kääntää tämän “Install Rootkit A On The Road”
e) (vapaaehtoinen) Vaihda sshd:n portti
sudoedit /etc/ssh/sshd_config
sshport.PNG
Heti alusta löytyy portin määrittelyasetus riviltä 5. Ennen kuin muutetaan porttia niin tehdään palomuuriin aukko uudelle ssh portille ja käynnistetään ssh uudelleen.
sudo ufw allow 50000/tcp
sudo service ssh restart
ssh50000.PNG
Kirjautuminen palvelimeen onnistui portista 50000.
Lähteet:
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s