Wer fummelt am System rum?

Ein kurzer Reminder an alle Admin-Einsteiger öfter mal folgende Befehle durchzuführen:
who
last
netstat -tanp
Auch wenn die Befehle jedem bekannt sein sollten, der einen Server mit Internetverbindung betreibt:
  • who zeigt aktuell eingeloggte User an. Wenn sich Benutzer am System angemeldet haben, die unbekannt sind oder nicht eingeloggt sein sollten, sollten sofort alle Alarmglocken klingeln.
  • last zeigt die zuletzt eingeloggten User an, bei Verbindungen über das Netzwerk auch die Quell-IP, mit der die Verbindung erfolgt ist. Auch hier gilt: Ungewöhnliche Aktivitäten sollten sofort weitere Maßnahmen auslösen.
  • netstat zeigt aktuelle Netzwerkverbindungen an. Wenn eine IP-Adresse hundertfach in der Liste auftaucht (am besten mit "grep" filtern) kann das auf einen Portscan schließen lassen.

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.