Apa yang sedang dilakukan server ini?

13

Saya memiliki banyak server virtual linux yang tersisa dari departemen TI sebelumnya. Mereka memiliki nama seperti 'sihir' atau 'barang'. Saya tidak yakin apa yang mereka lakukan ... atau jika saya membutuhkannya ...

Bagaimana kalian dan cewek pergi mencari tahu tujuan dari mesin ini? (Selain mematikannya dan melihat apa yang rusak)

linux virtual-machines configuration blsub6
sumber
2
Apakah Anda memiliki kredensial untuk masuk ke mesin ini?
Skyhawk
Saya memang memiliki kredensial untuk melakukan apa yang saya butuhkan untuk mesin
blsub6
9
Komentar yang sama sekali tidak berharga, tetapi judul dari pertanyaan ini akan membuat pertunjukan game yang luar biasa.
Matt Simmons

Jawaban:

20

Beberapa tempat untuk memulai:

  • mendengarkan layanan ( netstat) - ini seharusnya, secara umum, memberi Anda ide yang layak tentang apa yang terjadi dengan sistem.
  • /root/.bash_history (atau pengguna lain, jika mereka tidak menggunakan root) - apa pun yang terjadi di konsol, idealnya, terkait dengan tujuan sistem.
  • /var/log - lihat log standar, dan cari aplikasi apa saja yang terkait.
  • Paket yang diinstal - ini khusus untuk distribusi linux yang sedang mereka jalankan, tetapi jika log ada di sana, lihatlah. /var/log/dpkg.log,, /var/log/yum.logdll.
Shane Madden
sumber
2
Hal-hal lain untuk dilihat adalah pekerjaan cron (baik pekerjaan sistem /etc/crontabdan /etc/cron.*dan per pengguna)
DerfK
1
dan bagaimana dengan , ps uaxwatau topuntuk melihat apa yang terjadi? :)
KARASZI István
12

Hampir tidak ilmiah saya tahu, tetapi jika Anda mendapat izin dari manajemen Anda, saya akan mempertimbangkan untuk menghentikan VM - Anda akan mengetahui apakah mereka lebih cepat penting daripada yang Anda pikirkan, jika tetap dijeda dengan tidak ada yang mengeluh ... baik yang memberitahu Anda sesuatu yang lain.

Serius meskipun Anda dapat menghabiskan karir mencoba untuk mencari tahu mereka tanpa setiap benar-benar mengetahui semua yang mereka lakukan. Menjeda mereka mungkin tampak aneh / kejam tetapi dengan tidak adanya dokumentasi, saya yakin Anda dapat menjual ide itu kepada manajemen, sebagai yang pertama kali untuk melihat bagaimana hasilnya.

Chopper3
sumber
4
+1 - Satu-satunya cara untuk mengetahui layanan apa yang sedang berjalan adalah mematikannya. Pekerjaan terakhir saya memiliki "server cetak" Windows NT4 yang sudah bertahun-tahun setelah itu seharusnya mati. Pada hari dimatikan banyak hal pecah yang tidak ada yang tahu berlari di kotak itu.
voretaq7
1
Hentikan mereka dan tunggu. Dan setelah dua bulan berlalu dan beberapa pengguna acak mengeluh bahwa pembagian, pintasan, atau yang lain tidak berfungsi (tapi berhasil!) Hidupkan.
adamo
5
@ adamo ... sesaat untuk memigrasikan data / fungsionalitas ke mesin / VM yang didukung yang diakui kemudian matikan jika mati lagi.
Chopper3
7

Aku terkejut melihat bahwa jawaban pertama menyarankan tidak ps -ef, jadi saya akan menambahkannya: jika Anda ingin tahu apa sistem yang dilakukan sekarang , membaca daftar proses, memberikan perhatian khusus terhadap apa akar terserah, dan apakah ada proses yang dimiliki oleh pengguna yang diberi nama mencolok (mysql, named, dll).

Saya kemudian membandingkan daftar proses saya dengan lsofrun sebagai root untuk melihat proses mana yang mendengarkan di jaringan, dan yang memegang file terbuka. Biasanya ini memberi Anda gambaran yang cukup bagus tentang proses yang sudah berjalan lama di kotak, yang umumnya merupakan fungsi utamanya.

Pengecualian penting termasuk surat - lihat syslog lokal dan mailquntuk perincian tentang apa yang sedang diproses oleh sendmail - dan layanan run-on-demand bertipe inted, yang /etc/xinetd.confmerupakan taruhan yang baik, setidaknya untuk kebanyakan Linux berbasis Redhat terbaru.

Semoga itu bisa membantu; beri tahu kami jika Anda mengalami sesuatu khususnya kami dapat membantu mengidentifikasi!

Jeff Albert
sumber
+1 untuk lsof. lsof -idapat menjadi teman terbaik Anda dalam situasi ini.
Brian
1

Saya akan mulai dengan melihat layanan apa yang berjalan ... Kemudian mencoba mencocokkan mereka dengan apa yang mereka hosting. JANGAN dalam keadaan apa pun matikan apa yang Anda tidak tahu itu dilakukan karena Anda bisa menghancurkan apa pun itu menjalankan jika misinya kritis (jika itu adalah rute yang ingin diambil, hentikan mereka), Anda juga harus memeriksa untuk lihat apakah ada dokumentasi.

Yakub
sumber
1

Oh sayang, itu menyenangkan.

Apakah Anda tahu untuk apa mereka digunakan? Bisakah Anda mempersempitnya menjadi "ini digunakan untuk layanan jaringan", atau bisakah itu benar-benar menjadi apa pun?

Saya akan mengatakan penangkapan paket pada setiap server diperlukan, bersama dengan audit dari semua layanan yang berjalan. Temukan file konfigurasi untuk setiap layanan yang berjalan dan periksa kapan file terakhir diperbarui - yang akan memberi Anda petunjuk apakah ada sesuatu yang telah disesuaikan, dan jika demikian, berapa lama.

Anda juga dapat menjalankan pemindaian port pada setiap server untuk melihat port mana yang terbuka dan merespons.

Anda bisa mendapatkan petunjuk dengan menanyakan layanan jaringan yang dikenal - EG, DNS, LDAP, dll. Anda harus dapat menemukan daftar semua server DNS untuk zona tertentu dengan menggali catatan NS. Ingatlah bahwa Anda mungkin berakhir dengan daftar NS record yang lebih panjang daripada sebenarnya ada server DNS aktif, tetapi itu akan memberi Anda titik awal.

Tidak satu pun dari metode-metode ini yang pasti ditembakkan oleh mereka sendiri, tetapi jika Anda melemparkan beberapa metode audit pada kotak tertentu, peluang Anda untuk menemukan segala sesuatu yang layak ditemukan ditingkatkan.

Semoga berhasil!

Jeremy
sumber
+1 untuk kalimat pertama, yang saya yakin adalah apa yang kita semua pikirkan saat membaca pertanyaan. :)
John Gardeniers
0

Pemindaian port akan mengungkapkan layanan yang dapat diakses jaringan

Dari server secara lokal: nmap 127.0.0.1

Atau Anda dapat memberitahu nmap untuk memindai subnet / mask tertentu

sreimer
sumber
2
Atau bahkan hanya netstat.
John Gardeniers
0

Satu sudut lain adalah melihat apa yang dikonfigurasikan untuk terhubung ke server. Jika foozle.example.com dikonfigurasi dalam klien email CEO, itu mungkin server email. Klien FTP mungkin menunjuk ke suatu server web. Dll.

Wyatt Barnett
sumber
Sementara itu akan berhasil masalahnya adalah bahwa setiap mesin lain dan bahkan mungkin setiap akun pengguna pada mesin-mesin itu harus diperiksa, bukan hanya mesin target.
John Gardeniers
Tidak juga - jika ini adalah server yang sebenarnya, memeriksa sampel akan memberi tahu Anda berapa besar kotaknya. Atau setidaknya yang biasa diakses secara internal. Menurut saya, Anda juga bisa melihat aturan firewall untuk mencakup layanan yang dapat diakses secara eksternal.
Wyatt Barnett
0

ps -ef untuk proses, netstat -a untuk layanan mendengarkan dan tcpdump untuk melihat lalu lintas apa yang bolak-balik adalah saran bagus. Selain itu, karena Linux, ada peluang bagus ada firewall yang berjalan - lihat aturan pengaturan untuk itu, harus memberi Anda petunjuk yang baik tentang layanan apa yang diharapkan untuk digunakan pada host ini dan host jarak jauh yang terhubung dengan host ini. . misal iptables - daftar Tentu saja, firewall apa yang ada untuk diperiksa, coba lsmod untuk mencari modul firewall dan periksa / var / log

Bob T
sumber