Wie finde ich heraus, wer auf meinen Server zugreift? Mein Server ist Ubuntu

7

Ich möchte alle Personen kennen, die auf meinen Server zugreifen. Gibt es ein Protokoll, aus dem hervorgeht, wann und wie die Personen auf meinen Server zugreifen?

--BEARBEITEN--

Es tut uns leid, dass wir vor einiger Zeit keine weiteren Details angegeben haben. Mein Server ist Ubuntu 10.04 LTS, das in Linode ausgeführt wird. Ich habe zahlreiche Gruselgeschichten von Hackern gehört, die versucht haben, einen Server zu hacken, daher möchte ich wissen, wo sich die Protokolle befinden, die mir zeigen, wer per SSH auf meinen Server zugegriffen hat, oder alles, was meinen Server in Gefahr bringen kann.

Ich habe den LAMP-Stack auf meinem Server installiert. Das ist alles was ich jemals installiert habe.

Kevin Lee
quelle
1
Das Frage-Textfeld ist ziemlich groß. Warum geben Sie bitte nicht mehr Details an? Ich würde vorschlagen, dass Sie mit dem Namen des Servers beginnen, den Sie ausführen, und mit einigen anderen Details, von denen Sie glauben, dass sie jemandem helfen könnten, Ihre Frage mit mehr als einem einfachen "Ja" zu beantworten. Vielen Dank!
jmort253
Es tut uns leid, dass Sie keine weiteren Details angegeben haben. Vielen Dank, dass Sie weitere Informationen vorgeschlagen haben.
Kevin Lee
+1 auf deine Frage! :) Danke, dass du die zusätzlichen Details hinzugefügt hast.
jmort253

Antworten:

7

Setzen Sie eine Überwachungskamera neben Ihren Server, wenn Sie sehen möchten, wer auf Ihren physischen Server zugreift.

Um zu wissen, dass jemand Pakete an Ihren Server sendet, können Sie IP-Tabellen einrichten:

sudo iptables -I INPUT -j LOG
sudo iptables -I FORWARD -j LOG

Dies ist wahrscheinlich nicht das, was Sie gemeint haben, aber es protokolliert ALLE eingehenden Pakete /var/log/kern.log, ob diese gültig sind oder nicht. Der vorherige Befehl diente nur zur Veranschaulichung. Verwenden Sie ihn nicht in dieser Form, da sonst Ihre Protokolle überflutet werden und möglicherweise ein DoS auftritt

Eine kleine Liste von Diensten mit ihren Protokolldateien:

  • SSH: Jeder Anmeldeversuch wird angemeldet /var/log/auth.log
  • Apache: Bei einer Standardinstallation mit aptwerden Protokolldateien in das Verzeichnis geschrieben/var/log/apache2/
  • Beispiel: Verbindungsversuche werden protokolliert /var/log/exim4/mainlog(aber harmlose Nachrichten über die Warteschlange werden auch in dieser protokolliert).
Lekensteyn
quelle
4

Klingt so, als wären Sie paranoid, dass Hacker Ihren Server hacken. Solange Sie nicht speziell auf einen Hack ausgerichtet sind (äußerst unwahrscheinlich), können Sie verhindern, dass Sie gehackt werden von:

  1. Verwenden Sie sichere Kennwörter (und noch besser, aktualisieren Sie auch für Ihren SSH-Server auf Krypto mit öffentlichem Schlüssel).
  2. Sich aller Dienste bewusst sein, auf die Menschen zugreifen können. Deaktivieren Sie nicht benötigte (dh deaktivieren Sie einen FTP-Server, wenn Sie SFTP verwenden können).
  3. Alles auf dem neuesten Stand halten
  4. Auswerten nicht statischer Webseiten auf SQL-Injections, File Inclusion-Schwachstellen (LFI / RFI) und andere Schwachstellen.

Solange Sie niemandem ein offensichtliches Loch hinterlassen, durch das er hineinkommen kann, wird es Ihnen gut gehen. Die meisten "Hacker" da draußen, die sich in zufällige Webserver hacken, suchen nach den niedrig hängenden Früchten.

Bandit
quelle