我有一堆从以前的IT部门遗留下来的Linux虚拟服务器。 他们有像“魔术”或“东西”的名字。 我不太确定他们在做什么,或者如果我需要他们…
你们怎么会find这些机器的目的呢? (除了closures它们,看看有什么断点)
几个地方开始:
netstat ) – 一般来说,这应该给你一个关于系统正在发生什么的体面的想法。 /root/.bash_history (或者其他用户,如果他们不使用root的话) – 控制台上的任何事情理想情况下都与系统的目的有关。 /var/log – 浏览标准日志,查找与应用程序相关的任何内容。 /var/log/dpkg.log等 我知道的科学水平很低,但如果你得到pipe理层的许可,我会考虑暂停虚拟机 – 你会发现,如果它们更快,你会想,如果它停留在没有人抱怨的状态下……那么,你别的东西。
说真的,虽然你可以花一个职业,试图找出他们没有每一个真正了解他们所做的一切。 暂停他们可能看起来很奇怪或严厉,但在没有文件的情况下,我相信你可以把这个想法出售给pipe理层,首先是一次性的,看看它是如何发展的。
我很惊讶地看到第一个答案不是ps -ef ,所以我会添加它:如果你想知道系统现在正在做什么,请阅读进程列表,特别注意哪些是root以及是否有明显命名用户拥有的进程(mysql,named等)。
然后,我将比较我的进程列表和以root身份运行的lsof ,以查看哪些进程正在networking上侦听,哪些进程正在打开文件。 通常这会给你一个相当好的图像,长时间运行的过程,通常是它的主要function。
值得注意的例外包括邮件 – 有关sendmail正在处理什么的详细信息,请参阅本地syslog和mailq – 以及/etc/xinetd.conf是一个很好的select,至less对于最近的Redhat-基于Linux的Linux。
希望有所帮助; 让我们知道,如果你遇到特别的事情,我们可以帮助识别!
我会开始看到哪些服务正在运行…然后尝试将它们与所托pipe的内容进行匹配。 不要在任何情况下关掉你不知道的事情,因为如果它的任务关键(如果这是你要死的路线,暂停它们),你可以打破它正在运行的任何事情…你也应该检查看看是否有任何forms的文件。
哦,亲爱的,这是一个有趣的。
你知道他们用的是什么吗? 你可以把它缩小到“这些用于networking服务”,或者真的可以做任何事情吗?
我会说每个服务器上的数据包捕获是必要的,同时对所有正在运行的服务进行审计。 find每个正在运行的服务的configuration文件,并检查文件上次更新的时间 – 这将为您提供是否已经定制的东西的线索,如果是,多久前。
您还可以在每台服务器上运行端口扫描,以查看哪些端口已打开并进行响应。
您可以通过查询已知networking服务(EG,DNS,LDAP等)来获取线索。通过挖掘NSlogging,您应该能够find特定区域的所有DNS服务器的列表。 请记住,您最终可能会得到比实际活动的DNS服务器更长的NSlogging列表,但它会给您一个起点。
这些方法都不能确保自己的火力,但如果你在一个特定的盒子上投掷多种审计方法,你find值得发现的一切的机会增强。
祝你好运!
端口扫描将显示任何networking可访问的服务
从本地服务器: nmap 127.0.0.1
或者你可以告诉nmap扫描某个子网/掩码
另一个angular度是看什么configuration连接到服务器。 如果foozle.example.com在首席执行官的电子邮件客户端中configuration,则可能是邮件服务器。 FTP客户端可能指向某种Web服务器。 等等
ps -ef进程,netstat -a服务监听和tcpdump来查看什么stream量来回都是很好的build议。 另外,由于它是Linux,所以很有可能有一个防火墙正在运行 – 请检查为它设置的规则,应该给你一个很好的线索,以便在这个主机和这个主机连接的远程主机上使用什么样的服务。 。 例如iptables –list当然,还有什么防火墙是需要检出的,请尝试lsmod来查找防火墙模块并检出/ var / log