No Linux um dos primeiros logs que você deve analisar em caso de suspeita de invasão é o auth.log. Nele por padrão são registrados as conexões SSH,
atividades do cron e do comando su. Em caso de falha ao tentar logar via SSH será registrado no auth. Veja abaixo um exemplo dos registros do auth:
Dec 30 09:49:58 debian su[2441]: Successful su for root by osvaldo
Dec 30 09:49:58 debian su[2441]: + pts/0 osvaldo:root
Dec 30 09:49:58 debian su[2441]: pam_unix(su:session): session opened for user root by osvaldo(uid=1000)
Dec 30 10:00:01 debian CRON[2564]: pam_unix(cron:session): session closed for user root
Dec 30 10:00:17 debian sshd[2569]: Invalid user naoexiste from 192.168.56.101
Dec 30 10:00:17 debian sshd[2569]: Failed none for invalid user naoexiste from 192.168.56.101 port 61959 ssh2
Dec 30 10:00:21 debian sshd[2569]: pam_unix(sshd:auth): check pass; user unknown
Dec 30 10:00:50 debian sshd[2569]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.101
Dec 30 10:00:50 debian sshd[2569]: PAM service(sshd) ignoring max retries; 6 > 3
Dec 30 10:01:01 debian CRON[2572]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec 30 10:01:01 debian CRON[2572]: pam_unix(cron:session): session closed for user root
Veja que tem algumas entradas de atividades do serviço SSHD, onde várias tentativas de acesso foi realizado porém sem sucesso devido a problemas de
login. Podemos ver também atividades do comando “su” e do cron.
O problema é que ele não vai mostrar exatamente o que o usuário fez depois que realizou o login com sucesso. Nas primeiras linhas temos o usuário
“osvaldo” utilizando o “su” para se tornar root no sistema e obteve sucesso em fazer isso, porém todo comando realizado pelo usuário Osvaldo que esta
na máquina como root não será registrada, imagine que você tenha dois usuários normais o Osvaldo e o Matthew que usaram o comando su para se
tornar root no sistema, como você vai saber quais comandos eles usaram como root? E como você vai fazer auditoria no seu sistema se não tem log dos
comandos que foram executados?
A chave deste post é implementar um sistema que registre tudo o que o usuário faça no seus sistema, logar todos os comandos executados com o
comando sudo, até mesmo o sudo -s e registrar as alterações em arquivos específicos.
Os quatro melhores engenheiros sociais de todos os tempos Usando o http-wp-plugins do Nmap para detectar plugins do Wordpress Pentest - Fundamentos para realizar um teste de fogo SleuthKit & Autopsy - *BSD, Unix, Linux Forensic tools ISO/IEC 27002 - Plano para Certificação
Versão para impressora
Indicar para um amigo
Enviar artigo