Ein kurzer Reminder an alle Admin-Einsteiger öfter mal folgende Befehle durchzuführen:
who
last
netstat -tanp
Auch wenn die Befehle jedem bekannt sein sollten, der einen Server mit Internetverbindung betreibt:
- who zeigt aktuell eingeloggte User an. Wenn sich Benutzer am System angemeldet haben, die unbekannt sind oder nicht eingeloggt sein sollten, sollten sofort alle Alarmglocken klingeln.
- last zeigt die zuletzt eingeloggten User an, bei Verbindungen über das Netzwerk auch die Quell-IP, mit der die Verbindung erfolgt ist. Auch hier gilt: Ungewöhnliche Aktivitäten sollten sofort weitere Maßnahmen auslösen.
- netstat zeigt aktuelle Netzwerkverbindungen an. Wenn eine IP-Adresse hundertfach in der Liste auftaucht (am besten mit „grep“ filtern) kann das auf einen Portscan schließen lassen.