Máy chủ này đang làm gì vậy?

Tôi có một loạt các máy chủ ảo linux còn sót lại từ một bộ phận CNTT trước đó. Họ có những cái tên như 'ma thuật' hoặc 'thứ'. Tôi không chắc chắn những gì họ đang làm ... hoặc nếu tôi cần họ ...

Làm thế nào các bạn và các cô gái đi tìm hiểu mục đích của các máy này? (bên cạnh việc tắt chúng và xem những gì phá vỡ)

Một vài nơi để bắt đầu:

• dịch vụ lắng nghe ( netstat) - nói chung, điều này sẽ cho bạn một ý tưởng đúng đắn về những gì đang xảy ra với hệ thống.
• /root/.bash_history (hoặc của những người dùng khác, nếu họ không sử dụng root) - bất cứ điều gì đang diễn ra trên bảng điều khiển, lý tưởng nhất, sẽ liên quan đến mục đích của hệ thống.
• /var/log - lướt qua các bản ghi tiêu chuẩn và tìm kiếm bất kỳ ứng dụng nào liên quan.
• Các gói đã cài đặt - điều này đặc trưng cho việc phân phối linux mà chúng đang chạy, nhưng nếu các bản ghi ở đó, hãy xem. /var/log/dpkg.log, /var/log/yum.logv.v.

Tôi rất khó hiểu về khoa học nhưng nếu bạn nhận được sự cho phép từ quản lý của mình, tôi sẽ xem xét việc tạm dừng máy ảo - bạn sẽ tìm hiểu xem chúng có quan trọng nhanh hơn bạn nghĩ không, nếu nó bị tạm dừng mà không có ai phàn nàn ... điều đó nói bạn cái gì khác

Nghiêm túc mặc dù bạn có thể dành một sự nghiệp cố gắng tìm ra chúng mà không thực sự biết mọi thứ họ làm. Tạm dừng chúng có vẻ kỳ quặc / hà khắc nhưng trong trường hợp không có tài liệu tôi chắc chắn bạn có thể bán ý tưởng cho ban quản lý, như một lần đầu tiên để xem mọi thứ diễn ra như thế nào.

Tôi đã rất ngạc nhiên khi thấy câu trả lời đầu tiên được đề xuất là không ps -ef, vì vậy tôi sẽ thêm nó: nếu bạn muốn biết hệ thống đang làm gì ngay bây giờ , hãy đọc danh sách quy trình, đặc biệt chú ý đến việc root là gì và cho dù có các quy trình thuộc sở hữu của người dùng có tên dễ thấy (mysql, được đặt tên, v.v.).

Sau đó, tôi sẽ so sánh danh sách quy trình của mình với lsofchạy dưới dạng root để xem quá trình nào đang lắng nghe trên mạng và đang giữ các tệp đang mở. Thông thường, điều này cung cấp cho bạn một bức tranh khá tốt về các quy trình chạy dài trên hộp, thường là chức năng chính của nó.

Các ngoại lệ đáng chú ý bao gồm thư - xem nhật ký hệ thống cục bộ và mailqđể biết chi tiết về những gì đang được xử lý bằng sendmail - và các dịch vụ chạy theo yêu cầu kiểu inted, đó /etc/xinetd.conflà một sự đánh cược tốt, ít nhất là đối với hầu hết các Linux dựa trên Redhat gần đây.

Hy vọng rằng sẽ giúp; cho chúng tôi biết nếu bạn gặp phải vấn đề gì đặc biệt, chúng tôi có thể giúp xác định!

Tôi sẽ bắt đầu bằng cách xem những dịch vụ nào đang chạy ... Sau đó cố gắng kết hợp những dịch vụ đó với những gì họ đang lưu trữ. KHÔNG trong bất kỳ trường hợp nào tắt nguồn những gì bạn không biết vì nó có thể phá vỡ mọi thứ nó đang chạy nếu nhiệm vụ của nó rất quan trọng (nếu đó là con đường bạn sắp chết, hãy tạm dừng chúng) ... Bạn cũng nên kiểm tra xem nếu có bất kỳ loại tài liệu.

Oh thân yêu, đó là một niềm vui.

Bạn có biết họ dùng để làm gì không? Bạn có thể thu hẹp nó thành "những thứ này được sử dụng cho các dịch vụ mạng" hay nó thực sự có thể là bất cứ thứ gì không?

Tôi muốn nói rằng việc bắt gói tin trên mỗi máy chủ là cần thiết, cùng với việc kiểm tra tất cả các dịch vụ đang chạy. Xác định vị trí các tệp cấu hình cho từng dịch vụ đang chạy và kiểm tra khi các tệp được cập nhật lần cuối - điều đó sẽ cho bạn manh mối về việc liệu có thứ gì đó đã được tùy chỉnh hay không và nếu có thì cách đây bao lâu.

Bạn cũng có thể chạy quét cổng trên mỗi máy chủ để xem cổng nào đang mở và phản hồi.

Bạn có thể nhận được manh mối bằng cách truy vấn các dịch vụ mạng đã biết - EG, DNS, LDAP, v.v. Bạn sẽ có thể tìm thấy danh sách tất cả các máy chủ DNS cho một vùng cụ thể bằng cách đào các bản ghi NS. Hãy nhớ rằng bạn có thể kết thúc với một danh sách dài hơn các bản ghi NS so với các máy chủ DNS thực sự đang hoạt động, nhưng nó sẽ cung cấp cho bạn một điểm khởi đầu.

Không có phương pháp nào trong số này chắc chắn tự cháy, nhưng nếu bạn ném nhiều phương thức kiểm toán vào một hộp cụ thể, cơ hội tìm kiếm mọi thứ đáng để tìm kiếm của bạn sẽ được nâng cao.

Chúc may mắn!

Quét cổng sẽ tiết lộ bất kỳ dịch vụ truy cập mạng nào

Từ máy chủ cục bộ: nmap 127.0.0.1

Hoặc bạn có thể yêu cầu nmap quét một mạng con / mặt nạ nhất định

Một góc khác là nhìn vào những gì được cấu hình để kết nối với các máy chủ. Nếu foozle.example.com được định cấu hình trong ứng dụng email của CEO, thì đó có thể là máy chủ thư. Các máy khách FTP có thể hướng tới một máy chủ web nào đó. Vân vân.

ps -ef cho các quy trình, netstat -a cho các dịch vụ lắng nghe và tcpdump để xem lưu lượng truy cập qua lại là những gợi ý tuyệt vời. Ngoài ra, vì là Linux, rất có thể có tường lửa đang chạy - hãy kiểm tra các quy tắc được thiết lập cho nó, sẽ cho bạn biết manh mối nào sẽ sử dụng dịch vụ nào trên máy chủ này và máy chủ từ xa mà máy chủ này kết nối với . ví dụ: iptables --list Tất nhiên, tường lửa nào có một thứ khác cần kiểm tra, hãy thử lsmod để tìm mô-đun tường lửa và kiểm tra / var / log