Ein kurzer Reminder an alle Admin-Einsteiger öfter mal folgende Befehle durchzuführen:
who
last
netstat -tanp
Auch wenn die Befehle jedem bekannt sein sollten, der einen Server mit Internetverbindung betreibt:
  • who zeigt aktuell eingeloggte User an. Wenn sich Benutzer am System angemeldet haben, die unbekannt sind oder nicht eingeloggt sein sollten, sollten sofort alle Alarmglocken klingeln.
  • last zeigt die zuletzt eingeloggten User an, bei Verbindungen über das Netzwerk auch die Quell-IP, mit der die Verbindung erfolgt ist. Auch hier gilt: Ungewöhnliche Aktivitäten sollten sofort weitere Maßnahmen auslösen.
  • netstat zeigt aktuelle Netzwerkverbindungen an. Wenn eine IP-Adresse hundertfach in der Liste auftaucht (am besten mit "grep" filtern) kann das auf einen Portscan schließen lassen.

No comments

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.