بسم الله الرحمن الرحيم
كيف تتحقق إن كان نظام Linux مخترقًا؟
تعتبر أنظمة Linux من الأنظمة القوية والمستقرة، وتتمتع بسمعة جيدة في الأمان، لكن هذا لا يعني أنها محصنة ضد الاختراقات. خاصة مع تزايد استخدامها في السيرفرات، والخوادم، والأنظمة الشخصية، فإن الأمان أمر بالغ الأهمية. في هذا المقال، سنستعرض مجموعة من الطرق التي تمكنك من التحقق إذا كان جهازك بنظامLinux قد تعرض للاختراق أو لا.
1.مراقبة العمليات الجارية (Processes)
أول خطوة في التحقق من وجود اختراق هي فحص العمليات الجارية على جهازك. في حالة وجود اختراق، قد ترى بعض العمليات غير المعروفة أو غير المتوقعة تعمل في الخلفية.
كيفية الفحص:
افتح الطرفية واستخدم الأمر:
```bash
top
```
أو:
```bash
htop
```
سيعرض لك هذا الأمر العمليات الجارية على النظام. ابحث عن العمليات غير المعروفة أو التي تستهلك الكثير منالموارد (مثل CPU أو الذاكرة).
تفصيل العملية:
ابحث عن أسماء غريبة أو غير معروفة.
تحقق من العمليات التي تستهلك موارد النظام بشكل مفرط.
استخدم أمر `ps` أو `pstree` لمزيد من التفاصيل حول العمليات المرتبطة بها:
```bash
ps aux | grep <اسم العملية>
```
2.مراقبة الشبكة (Network)
أحد الأعراض الواضحة لاختراق النظام هو نشاط غير عادي على الشبكة. البرامج الضارة والبرمجيات الخبيثة قد تفتح منافذ على جهازك وتبدأ في التواصل مع خوادم خارجية.
كيفية الفحص:
للاطلاع على الاتصالات النشطة والمنافذ المفتوحة، استخدم الأمر التالي:
```bash
ss -tuna
```
أو:
```bash
netstat -tulnp
```
ابحث عن أي اتصالات إلىعناوين IP غريبة أومنافذ غير معتادة.
افحص إذا كانت هناكاتصالات مستمرة إلى خوادم خارجية غريبة أو مشبوهة.
3.مراجعة السجلات (Logs)
سجلات النظام هي واحدة من أفضل الأدوات لاكتشاف الأنشطة المشبوهة. إذا كان جهازك قد تعرض للاختراق، فغالبًا ما ستجد إشارات في السجلات.
كيفية الفحص:
افتح السجلات باستخدام:
```bash
cat /var/log/auth.log
```
ابحث عن:
محاولات تسجيل دخول فاشلة.
تسجيلات دخول غريبة باستخداممستخدمين غير معروفين.
أوامر غريبة تم تنفيذها باستخدامصلاحيات الجذر (root).
4.تحقق من المستخدمين والحسابات
اختراق النظام قد يشمل إنشاء حسابات مستخدمين جديدة على جهازك. إذا كنت تستخدمصلاحيات الجذر أو تمت مصادقة جهازك من قبل شخص غير موثوق، قد يتم إضافة مستخدمين ضارين بدون علمك.
كيفية الفحص:
للتحقق من المستخدمين الذين لديهم صلاحيات `sudo` أو `root`:
```bash
sudo grep '^sudo' /etc/group
```
لفحص الحسابات المثبتة:
```bash
cat /etc/passwd
```
افحص إذا كان هناكحسابات غريبة أوتعديلات غير معروفة على النظام.
5.فحص المهام المجدولة (Cron Jobs)
الهاكرز غالبًا ما يقومون بإنشاء مهام مجدولة لاستمرار الاختراق. لذا من المهم فحصcron jobs المجدولة على جهازك.
كيفية الفحص:
```bash
crontab -l
sudo ls -l /etc/cron.
```ابحث عن أيسكربتات غير معروفة أوأوامر مشبوهة قد تكون مبرمجة للتنفيذ بشكل دوري.
6.التحقق من البرامج المثبتة
أحد الطرق التي قد يستخدمها المهاجمون لاختراق النظام هو تثبيت برامج أو أدوات خبيثة على جهازك. يجب التحقق من البرامج المثبتة حديثًا أو بشكل غير مبرر.
كيفية الفحص:
في توزيعاتDebian/Ubuntu:
```bash
grep "install " /var/log/dpkg.log
```
في توزيعاتRed Hat/Fedora:
```bash
rpm -qa --last
```
ابحث عنبرامج غير معروفة أوحزم غريبة تم تثبيتها على النظام.
7.التحقق من سجل الأوامر (Bash History)
يمكن للهاكرز أن يتركوا آثارًا في سجل الأوامر عند تنفيذهم لأوامر على النظام. من المهم فحص ملف السجل الخاص بك.
كيفية الفحص:
```bash
cat ~/.bash_history
```
ابحث عنأوامر غريبة مثل تحميل سكربتات مشبوهة (`wget`, `curl`) أو أوامرSSH.
8.استخدام أدوات الأمان (Security Tools)
يمكنك أيضًا استخدام أدوات فحص الأمان للبحث عن البرمجيات الخبيثة أوrootkits التي قد تكون مُثبّتة على جهازك.
أدوات فحص الأمان:
chkrootkit: أداة لاكتشافrootkits.
rkhunter: أداة شاملة للبحث عن البرمجيات الخبيثة.
Lynis: أداة لتدقيق الأمان على مستوى النظام.
كيفية الفحص:
```bash
sudo apt install chkrootkit
sudo chkrootkit
```
الوصف: AIDE هو أداة للكشف عن التسلل عن طريق مراقبة تكامل الملفات. يمكنها اكتشاف التغيرات غير المصرح بها في النظام مثل التغييرات في ملفات النظام أو التعديلات.
sudo apt-get install aide
الاستخدام:
sudo aide --check
الوصف: أداة للتدقيق الأمني تتبع أنشطة النظام مثل فتح الملفات أو التعديل عليها. يمكن تكوين auditd لمراقبة العمليات المشبوهة.
التثبيت:
sudo apt-get install auditd
الاستخدام:
يمكنك فحص السجلات عبر:
sudo ausearch -m avc
التثبيت:
9.فحص البرمجيات الخبيثة (Malware)
البرمجيات الخبيثة (Malware) قد تتضمنبرمجيات التجسس أوفيروسات تهاجم جهازك. لذا، استخدام أداة فحص قويّة يعد أمرًا مهمًا.
كيفية الفحص:
يمكنك استخدام أدوات مثل:
ClamAV: برنامج مكافحة الفيروسات المفتوح المصدر.
Malwarebytes: إذا كنت بحاجة إلى أداة أكثر شمولية.
قد يكون من الصعب اكتشاف الاختراق في أنظمةLinux نظرًا للطبيعة المتقدمة لهذه الأنظمة، لكن من خلال المراقبة المستمرة واستخدام الأدوات المناسبة، يمكنك تحديد إذا كان جهازك قد تعرض للاختراق. التحقق من العمليات الجارية، ومراقبة الشبكة، وتحليل السجلات، وفحص التعديلات في النظام هي خطوات أساسية في الكشف عن أي اختراقات محتملة.
إذا كنت تشك في أن جهازك مخترق، يجب أنتأخذ خطوات سريعة لتأمين النظام، مثل تغيير كلمات المرور، فصل الجهاز عن الشبكة، وتثبيت التحديثات الأمنية.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))