SÍNTOMAS DE UN SERVIDOR COMPROMETIDO.
Cada hacker deja algunas evidencias, esto depende del administrador de TI para averiguar las evidencias dejadas atrás. Si su servidor es pirateado, definitivamente se comportará un día u otro de una manera u otra. Hay pocas cosas que podemos ejecutar rápidamente en nuestra caja de Linux para saber si el sistema de Linux fue pirateado o no. Siga los pasos a continuación rápidamente para auditar su sistema Linux:
VERIFICAR INICIAR SESIÓN ACTUAL
- Paso 1: Primero tenemos que verificar quién inició sesión en el servidor utilizando este comando "w". Esto mostrará la salida de los detalles de inicio de sesión con el usuario, la IP y la hora.

Para esto simplemente se usa el comando :
w
VERIFICAR ÚLTIMO INICIO DE SESIÓN
- Paso 2: los servidores Linux registran los detalles de inicio de sesión con la dirección IP. Para saber quién inició sesión en el servidor, use este comando "último" que nos mostrará los detalles de inicio de sesión con la dirección IP y la hora.

Para esto simplemente se usa el comando :
last
VER HISTORIAL DE MANDOS
- Paso 3: Linux almacena los comandos en el historial, que usamos en el terminal. Al emitir un comando de historial podemos ver la lista de comandos ejecutados por el usuario en el terminal.

Para esto simplemente se usa el comando :
history
COMPRUEBE LOS PROCESOS DE LA CPU
- Paso 4: La mayoría de los piratas informáticos ejecutan un proceso para llevar la puerta trasera al sistema y este proceso de puerta trasera puede consumir CPU, podemos usar el comando "top" para verificar la lista de procesos.

Para esto simplemente se usa el comando :
top
VERIFICAR PROCESOS DEL SISTEMA
- Paso 5: Ahora tenemos que verificar los procesos del sistema en ejecución. Utilice este comando "ps auxf" para obtener más información sobre los procesos en ejecución.

Para esto simplemente se usa el comando :
ps auxf
VERIFICAR LA RED DE TRÁFICO
- Paso 6: Ahora, tenemos que verificar el tráfico de la red utilizando el comando "iftop", esto nos proporcionará detalles sobre el envío y la recepción de los datos de la red junto con el origen y el destino.
Primero, tenemos que instalar el paquete usando este comando "apt install iftop". La salida se mostrará de esta manera.

Para esto simplemente se usa el comando :
apt install iftop
iftop
VERIFICAR PUERTOS DE ESCUCHA
- Paso 7: Un Hacker instala programas de puerta trasera si ha comprometido el servidor Linux. Todas las puertas traseras se ejecutan en segundo plano, lo que se puede identificar mediante puertos abiertos. Podemos usar el comando "netstat -plunt". Este comando enumerará todas las conexiones de red en nuestro sistema.

Para esto simplemente se usa el comando :
netstat -plunt
CONCLUSIÓN
Así que estudiamos comandos básicos para auditar nuestro sistema Linux y averiguar si nuestro servidor está comprometido o no. Hay muchas más herramientas disponibles para auditar su sistema de una vez, que abordaremos en las próximas publicaciones.