netstat. Показывает открытые сетевые порты и подключившихся к ним клиентов. Периодически полезно запускать на серверах для проверки, не протроянили ли компьютер.
netstat -a -l -t -nСмотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.
Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.
Теперь возникает вопрос, а что же делать?
Как защитить свой компьютер от взлома
Отключите все неиспользуемые сервисы.
Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
Поставьте софт, периодически проверяющий системные файлы на модификацию.
Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.
Пользователь решил продолжить мысль [time]02 Сентябрь 2015, 21:16:35[/time]:
snort. Система обнаружения сетевых вторжений. Выявит и детально запротоколирует все сетевые атаки на ваш рабочий компьютер или сервер. Кто атаковал, когда, откуда, какие порты, с каким результатом и т.д.
Пользователь решил продолжить мысль [time]02 Сентябрь 2015, 21:17:44[/time]:
ngrep. Поистине уникальный инструмент. Как grep, только для сетевого трафика. Можно, например, проверять, куда утекают ваши персональные данные.
Пользователь решил продолжить мысль [time]02 Сентябрь 2015, 21:18:35[/time]:
iptraf. Учет сетевого трафика. Программа обязательна для тех пользователей, которые выходят в сеть через мобильные сети с помегабайтной тарификацией. iptraf показывает объемы входящего и исходящего трафика, а также среднюю скорость соединения.
Пользователь решил продолжить мысль [time]02 Сентябрь 2015, 21:20:12[/time]:
tcpdump. Записывает весь трафик в универсальном формате PCAP для дальнейшего изучения. Например, можно записать трафик публичной сети Wi-Fi и дома изучить записанное с помощью Wireshark.
Пользователь решил продолжить мысль [time]02 Сентябрь 2015, 21:20:58[/time]:
iftop. Мониторинг производительности сетевой подсистемы. Тормозит интернет? Проверьте для начала iftop — может банально не тянет сетевой адаптер.
Тема: Как посмотреть логи сетевой активности? (Прочитано 11653 раз)
