Linux işletim sistemlerinde temel olay müdahale komutları

Giriş

Kullanım oranları gittikçe artan Linux ve macOS işletim sistemlerini hedef alan saldırılar da paralelde her geçen gün artmaktadır. Genelde Windows işletim sistemleri için oluşmuş olan DFIR kültürü, son zamanlarda bu anlamda macOS ve Linux'ü de kapsayıcı bir hal almıştır.

Bu yazıda, Linux işletim sisteminin dahil olduğu siber olaylara ilk müdahale anlamında -ek üçüncü parti araçlar kullanmadan- vaka doğrulama amacıyla neler yapılabileceğine yer verilmiştir.

Not: Bu örnekler Debian tabanlı işletim sistemleri için yapılmışsa da komutları ufak tefek değişikliklerle Redhat vb. tabanlı dağıtımlara da uyarlayabilirsiniz.

Temel komutlar ve analiz yöntemleri

Bazı komutların çıktıları normal kullanıcı haklarıyla kısıtlı içerik getirmektedr. Bu sebeple komutların sudo / root yetkisiyle çalıştırılması tavsiye olunur

hostname: Makine adı

uname -a: Sisteme ait işlemci ve çekirdek tipi detaylarını getirir

whoami: Login olmuş kullanıcıyı getirir

cat /etc/issue: İşletim sistemi detayını getirir

cat /var/log/*: error ifadelerine, ssh, telnet, nc vb. shell uygulamalarına bakılabilir. (cat yerine zcat ile eski gzipli dosyalar da okunabilir)

lsmod: Çekirdek modüllerini listeler. Anormal modül isimlerine bakılır (özellikle rootkit tespitlerinde işe yarar)

who: An itibariyle login olmuş kullanıcılarda anormal kullanıcı isimleri aranır

lastlog: Son loginlerde anormal loginler aranır

arp -an: ARP tablosunda anormal gözüken makine isimleri / MAC adresleri aranır

route: Anormal olabilecek route kurallarına bakılır

ifconfig: Beklenmeyen promiscuous (sniffing) moddaki arayüzler aranır

netstat -apetul: LISTEN moddaki şüpheli uygulamalar incelenir

lsof -i: Şüpheli bağlantılar incelenir

cat /etc/passwd: Şüpheli kullanıcı isimleri incelenir

cat /etc/crontab: Şüpheli zamanlanmış görevler incelenir

cat /etc/cron*: Şüpheli zamanlanmış görevler incelenir

cat /etc/resolv.conf: DNS kayıtlarını listeleyen bu komutta şüpheli DNS ayarları aranır

cat /etc/hosts: Şüpheli kayıtlar aranır

ps aux: Çalışan process'leri listeler. Şüpheli isimli process'ler aranır.

ls -lat: Son değiştirilen dosya/klasörleri görmek için

dpkg-query -l: Sistemde kurulu paketleri getirir (Redhat için rpm -Va)

Bu ve benzeri pek çok kanıtı otomatik olarak bir Python betiğiyle toplamak için -kaynaklarda yer alan- FastIR Collector yazılımına bakabilirsiniz.

Kaynaklar

Furkan ÇALIŞKAN

Read more posts by this author.