Comando para detectar actividad en el sistema

5 envíos / 0 nuevos
Último envío
#1 Vie, 03/06/2022 - 00:06
p4md4
Imagen de p4md4
Desconectado/a
se unió: 17/10/16

Comando para detectar actividad en el sistema

que tal colegas?

tengo una curiosidad, existe alguna forma que no sea ver el log de logueo al sistema... de saber si existe alguna conexion inversa o puerta abierta en el sistema? ó algun tipo de ejecutable al estilo Windows que se ejecuta cuando se cumpla una condición?

la pregunta viene porque tengo un equipo en la red lan, que hay veces aparentemente tiene un elevado uso/consumo de CPU por largos periodos. Es como si fuera que este corriendo algun script ó ejecutandose el antivirus "clamv".
Entonces me conecto al mismo desde otra (PC) terminal mediante "ssh", y sucede que... es como si cuando se conecta el usuario "root" termina su rutina, se estabiliza el consumo de CPU.

En el equipo tengo corriendo apache2, mariadb, y otros..) el sistema Debian 11 lo tengo actualizado a sus ultimas Update.

Quiero salirme de la duda que mi sistema no se haya convertido en un colador.

desde ya les agradezco por su tiempo.

Vie, 03/06/2022 - 11:40
elpatosilva
Imagen de elpatosilva
Desconectado/a
moderador
se unió: 22/01/16

Bueno, comando asi magico no existe, podrás saber que pasa tirando de ps, lsof, netstat, iftop, etc. mas los comandos particulares de cada servicio para ver la actividad.

Si el equipo se "normaliza" cuando haces login pues toca tirar de scripts que se ejecuten en segundo plano y manden todo a un log para su analisis, la tarea de sysadmin no es fácil.

Otra es que uses nagios o algun sistema de monitoreo de ese estilo. Haces muchos años utilice por un tiempo Cacti que es un estilo nagios pero mucho mas basico y simple de aprender a usar. Te repito que esto fue hace años, 14 o 15 por lo menos, no me extrañaria que ahora Cactis se haya vuelto un monstruo tanto o mas grande y complejo que nagios.

Saludos

 La democracia es el proceso que garantiza que no seamos gobernados mejor de lo que nos merecemos.

Vie, 03/06/2022 - 12:49 (Responder a #2)
p4md4
Imagen de p4md4
Desconectado/a
se unió: 17/10/16

entiendo que linux es como cocinar un asado, pero usando tu propia receta.. ;) lo podes quemar como podes sacar un buen sistema customizado.

porque.. estaba pensando que porque si yo vulnero un sistema (espero que no sea mi caso, que lo tenga como un colador), lógicamente he de borrar mis huellas... no es fácil la vida del sysadmin; cada dia se aprende algo nuevo. 

Entonces... ahora la pregunta es; como verifico que ese script realice su función para la cual fue programado. Que no sea alterado el resultado o en el peor de los casos borrado (el log) por el "intruso".

Mientras sigo en la búsqueda de herramientas. Y aprendiendo a detectar.. Ya que la mejor de todas es reinstalar una imagen nueva.

Gracias por tu tiempo smiley

 

..:: Aprendizaje Empirico ::..

Vie, 03/06/2022 - 17:05
elpatosilva
Imagen de elpatosilva
Desconectado/a
moderador
se unió: 22/01/16

Una cosa es que alguien vulnere tu equipo y tenga acceso a consola de forma permanente y otra es que utilicen alguna vulnerabilidad de los servicios que estas ejecutando para meterte un proceso oculto que se la pase tratando de minar bitcoins o cosas por el estilo.

En general lo tuyo va a ser el segundo caso, si tenes dudas siempre se puede enviar los logs a syslog y desde ahi hacer log a un equipo remoto por udp

Tambien hay herramientas que monitorean y detecta cuando algun archivo fue modificado (hay uno muy conocido pero ahora el nombre no me viene a la cabeza, me estoy poniendo viejo) En general no utilizo estas herramientas por que son muy intrusivas, te conectas para hacer algun ajuste y al minuto te estan llegando una lluvia de notificaciones acerca de las modificaciones que acabas de hacer.

No empieces pensando que hay un atacante metido en esto si nada indica que sea el caso, ser precavido es util pero serlo demasiado es una perdida de tiempo, primero piensa que puede haber alguno de tus proceso que no esta funcionando correctamente.

 

Saludos

 La democracia es el proceso que garantiza que no seamos gobernados mejor de lo que nos merecemos.

Mar, 02/08/2022 - 03:28 (Responder a #4)
p4md4
Imagen de p4md4
Desconectado/a
se unió: 17/10/16

elpatosilva wrote:

Una cosa es que alguien vulnere tu equipo y tenga acceso a consola de forma permanente y otra es que utilicen alguna vulnerabilidad de los servicios que estas ejecutando para meterte un proceso oculto que se la pase tratando de minar bitcoins o cosas por el estilo.

en mi caso me iba por el lado de que se haya realizado un acceso no autorizado mediante alguna vulnerabilidad (a pesar de tener el equipo con las últimas actualizaciones de sistema y protecciones con demás yerbas) de los servicios expuestos al exterior. Antes que se haya vulnerado físicamente, ya que el equipo esta aislado de terceras personas. Pero como siempre se suele decir, que el problema esta en la capa 8; hay cosas que se nos escapa.. (en pocas palabras no se puede abarcar todo).

elpatosilva wrote:

Tambien hay herramientas que monitorean y detecta cuando algun archivo fue modificado (hay uno muy conocido pero ahora el nombre no me viene a la cabeza, me estoy poniendo viejo) En general no utilizo estas herramientas por que son muy intrusivas, te conectas para hacer algun ajuste y al minuto te estan llegando una lluvia de notificaciones acerca de las modificaciones que acabas de hacer.

Sí, toda la razón. Aprendo más conociendo el funcionamiento del sistema a manopla. Hace tiempo estuve viendo y tenia instalada una de estas herramientas. 

el tema de la base de firmas, (hashes) con la cual se comparan si los archivos fueron modificados. Pregunta: Las mismas son creadas al momento de instalar el OS ó sobre la marcha se pueden crear esas BBDD; o las obtienen de fuentes externas, por ejemplo del servidor de las distribuciones propiamente dichas? Me refiero a la BBDD que utilizan "rkhunter" y otros, para hacer las comparaciones de firmas de los archivos con los posibles modificados.

[/quote]

Hoy vuelvo sobre el tema, ya que por casualidad tuve que hacer login al equipo remotamente para algunas tareas. Y me llevo la sorpresa de que el usuario que es administrador, no tiene privilegios para hacer las tareas que habitualmente realizaba. Por ende me logee con el root, y oh! sorpresa.. seguimos sin poder ejecutar comandos. No me quedo otra que llegar físicamente hasta el equipo y desconectarlo, y hacer login de forma local para ver que rayos estaba ocurriendo. Todo normal, creo que ahora confirmo que hay fantasmas en la casa. 

Por ahí leí que es mejor una instalación nueva, y utilizar el backup... (pero seguiré con la duda de que si esta realmente limpio 100%)

Desde ya, gracias por las luces @elpatosilva

..:: Aprendizaje Empirico ::..