статус: обучение status: learning holat: o'rganish

Результаты поиска

Найдено совпадений: 0

Подготовка к Linux Forensics

Добро пожаловать в интерактивный учебный портал для освоения криминалистического анализа систем под управлением ОС Linux. Выберите тему для перехода.

Linux Forensics Training Portal

Welcome to the interactive learning portal for mastering computer forensics on systems running Linux OS. Select a topic to begin.

Linux Forensics O'quv Portali

Linux operatsion tizimi boshqaruvidagi serverlarda kompyuter kriminalistikasini o'rganish portaliga xush kelibsiz. Boshlash uchun bo'limni tanlang.

Анализ логов и журналов

Log & Journal Analysis

Loglar va jurnallar tahlili

Изучение syslog, auth.log, journald, истории bash и подсистемы auditd.

Study syslog, auth.log, journald, bash history, and the auditd subsystem.

Syslog, auth.log, journald, bash tarixi va auditd tizimini o'rganish.

Методы закрепления (Persistence)

Persistence Mechanisms

Tizimda mustahkamlanish

Поиск бэкдоров в cron, systemd, SSH-ключах, автозапуске и детектирование руткитов.

Search for backdoors in cron, systemd, SSH keys, autostart, and rootkits.

Cron, systemd, SSH kalitlari va avtostartdagi teshiklarni hamda rutkitlarni qidirish.

Диски и Память

Disk & Memory Forensics

Disklar va Xotira tahlili

Изучение Sleuth Kit, восстановление удаленных файлов, анализ RAM в Volatility 3.

Using Sleuth Kit, recovering deleted files, and RAM analysis with Volatility 3.

Sleuth Kit bilan ishlash, o'chirilgan fayllarni tiklash va Volatility 3 bilan RAM tahlili.

Симулятор Сценариев

Scenario Simulator

Ssenariylar simulyatori

Решение реальных практических задач и разбор инцидентов через мини-квизы.

Solve practical cases and investigate incidents via interactive quizzes.

Mini-testlar orqali haqiqiy kiberhodisalarni tergov qilish va amaliy yechimlar.

Методология расследования (Order of Volatility)

Investigation Methodology (Order of Volatility)

Tergov metodologiyasi (Ma'lumotlar o'zgaruvchanligi tartibi)

При расследовании инцидентов критически важно соблюдать правильный порядок извлечения данных, двигаясь от наиболее нестабильных элементов (оперативная память) к долговременному хранению данных (диски):

  1. Реагирование в памяти (Live Memory): Снятие дампов RAM (с помощью LiME) до перезагрузки системы.
  2. Активные сетевые сокеты и процессы: Фиксация состояния системы перед внесением изменений.
  3. Быстрый триаж: Сбор критичных файлов конфигурации и текстовых логов с помощью автоматизированного скрипта.
  4. Низкоуровневый образ диска: DD-копирование и составление хронологии (mactime/MACB timeline).

When investigating incidents, it is critical to follow the correct order of volatility, moving from the most unstable elements (RAM) to persistent storage (disks):

  1. Live Memory Response: Acquiring RAM dumps (e.g., using LiME) before rebooting the system.
  2. Active Sockets & Processes: Documenting active network connections and running processes.
  3. Quick Triage: Collecting critical config files and text logs using an automated script.
  4. Low-level Disk Image: Making dd/raw copies and generating timelines (mactime/MACB timeline).

Hodisalarni tergov qilishda ma'lumotlarning o'zgaruvchanlik tartibiga rioya qilish juda muhim bo'lib, eng beqaror ma'lumotlardan (RAM) boshlab, doimiy saqlovchilarga (disklarga) qarab harakat qilinadi:

  1. Tezkor xotira tahlili (Live Memory): Tizimni qayta yuklashdan oldin RAM tasvirini olish (masalan, LiME yordamida).
  2. Faol tarmoq ulanishlari va jarayonlar: Tizimga o'zgartirish kiritmasdan oldin tarmoq soketlari va jarayonlarni qayd etish.
  3. Tezkor triage yig'ish: Avtomatlashtirilgan skript yordamida muhim loglar va konfiguratsiyalarni nusxalash.
  4. Disklarning past darajali nusxasi: dd orqali obraz yaratish va fayllar xronologiyasini (mactime/MACB timeline) tuzish.

Анализ системных логов и истории команд

Логи авторизации, системные сообщения и история терминала — это первый рубеж расследования, где фиксируются следы активности злоумышленника.

Расположение ключевых файлов журналов

System Logs & Command History Analysis

Authorization logs, system messages, and terminal histories are the front lines of an investigation, where the traces of adversary activity are recorded.

Key Log File Locations

Tizim loglari va buyruqlar tarixi tahlili

Avtorizatsiya loglari, tizim xabarlari va terminal tarixi — bu buzg'unchilarning izlari muhrlanadigan tergovning birinchi mudofaa chizig'idir.

Asosiy log fayllarining joylashuvi

Путь к файлу File Path Fayl yo'li Тип / Назначение Type / Purpose Turi / Vazifasi Что искать What to Look For Nimalarni qidirish kerak
/var/log/auth.log / secure Текстовый лог авторизации Text authorization log Avtorizatsiya matnli logi Сессии SSH, команды sudo, brute-force атаки. SSH sessions, sudo commands, brute-force attempts. SSH seanslari, sudo buyruqlari, brute-force hujumlari.
/var/log/syslog / messages Общий системный журнал General system log Umumiy tizim jurnali Сообщения служб, демонов и ошибки ядра. Service messages, daemons, and kernel errors. Xizmatlar xabarlari, demonlar va yadro xatoliklari.
/var/log/wtmp Бинарный журнал сессий Binary session log Binar seanslar jurnali Успешные входы пользователей (команда last). Successful user logins (command last). Foydalanuvchilarning muvaffaqiyatli kirishlari (last buyrug'i).
/var/log/btmp Бинарный лог сбоев Binary failures log Binar xatoliklar logi Неудачные попытки входа (команда lastb). Failed login attempts (command lastb). Muvaffaqiyatsiz kirish urinishlari (lastb buyrug'i).

Работа с systemd-journald (journalctl)

Working with systemd-journald (journalctl)

systemd-journald bilan ishlash (journalctl)

В современных дистрибутивах системные журналы хранятся в бинарном формате. Для их извлечения применяется утилита journalctl:

In modern distributions, system logs are kept in binary format. The journalctl utility is used to query them:

Zamonaviy tizimlarda loglar binar formatda saqlanadi. Ularni o'qish uchun journalctl buyrug'i qo'llaniladi:

# Просмотр логов конкретной службы (например, SSH) за последние 2 часа
journalctl -u ssh -S -2h

# Фильтрация логов по уровню критичности (ошибки и выше)
journalctl -p err..emerg -b

# Вывод логов службы в читаемом формате JSON
journalctl -u nginx --output=json-pretty

Анализ истории команд (.bash_history)

Command History Analysis (.bash_history)

Buyruqlar tarixi tahlili (.bash_history)

Внимание: Атакующие часто обходят историю Attention: Attackers often bypass history Diqqat: Buzg'unchilar ko'pincha tarixni chetlab o'tishadi

Злоумышленники могут временно отключить историю с помощью команды unset HISTFILE или выполнить полную очистку сессии с помощью history -c && history -w.

Intruders can temporarily disable history using unset HISTFILE or clear the active session history via history -c && history -w.

Buzg'unchilar unset HISTFILE buyrug'i orqali tarixni yozishni o'chirib qo'yishlari yoki history -c && history -w orqali faol seans tarixini butunlay tozalab yuborishlari mumkin.

Подсистема аудита auditd

Audit Subsystem (auditd)

Audit tizimi (auditd)

Подсистема auditd фиксирует системные вызовы на уровне ядра, что делает её более защищенной от модификаций пользователем.

The auditd subsystem records system calls at the kernel level, which makes it more secure against user tampering.

auditd tizim chaqiriqlarini to'g'ridan-to'g'ri yadro darajasida yozib boradi va foydalanuvchilar undagi ma'lumotlarni osonlikcha o'chira olishmaydi.

# Проверить сводный отчет по событиям безопасности
aureport --summary

# Найти события выполнения команд конкретным пользователем с UID 1001
ausearch -ua 1001 -i

Выявление методов закрепления в системе

Атакующие настраивают автоматический запуск своих скриптов, чтобы гарантировать постоянный доступ к системе даже после перезагрузки.

Persistence Mechanisms Detection

Attackers configure automatic execution of their scripts to guarantee permanent access to the system even after reboots.

Tizimda mustahkamlanish usullarini aniqlash

Buzg'unchilar server qayta yuklanganda ham ulanishni yo'qotmaslik uchun o'zlarining skriptlarini avtomatik ishga tushishini sozlab ketishadi.

Безопасный анализ скомпрометированной системы Safe Analysis of Compromised Systems Buzilgan tizimni xavfsiz tahlil qilish

Используйте статические сборки утилит (например, BusyBox, скачанный с busybox.net), чтобы избежать использования подмененных утилит ls, ps или netstat.

Use static binary utilities (e.g. BusyBox from busybox.net) to avoid running backdoored system utilities like ls, ps, or netstat.

Buzg'unchi tomonidan o'zgartirilgan ls, ps yoki netstat buyruqlariga aldanib qolmaslik uchun statik yig'ilgan utilitalardan (masalan, busybox.net dan olingan BusyBox) foydalaning.

Основные векторы проверки автозапуска

Key Autostart Locations to Check

Avtostartning asosiy tekshirish nuqtalari

1. Планировщики задач (Cron)

1. Task Schedulers (Cron)

1. Vazifalar rejalashtiruvchisi (Cron)

Проверяйте как общесистемные cron-файлы, так и личные задачи пользователей:

Check both global system cron files and user-specific tasks:

Tizim bo'yicha umumiy va foydalanuvchilarning shaxsiy rejalashtirilgan vazifalarini tekshiring:

# Просмотреть cron-задачи для всех пользователей в системе
for user in $(cut -f1 -d: /etc/passwd); do echo "=== $user ==="; crontab -u $user -l 2>/dev/null; done

2. Автозапуск через инициализацию Systemd

2. Autostart via Systemd

2. Systemd orqali avtomatik ishga tushish

# Найти файлы служб, измененные за последние 3 дня
find /etc/systemd/system/ -name "*.service" -mtime -3

# Вывести все активные таймеры systemd (замена cron)
systemctl list-timers --all

3. Авторизация по SSH и профили оболочек

3. SSH Authorization & Shell Profiles

3. SSH avtorizatsiyasi va qobiq profillari

  • Ключи авторизации: Проверьте файлы ~/.ssh/authorized_keys всех пользователей.
  • Authorization keys: Check ~/.ssh/authorized_keys files for all users.
  • Avtorizatsiya kalitlari: Barcha foydalanuvchilarning ~/.ssh/authorized_keys fayllarini tekshiring.
  • Скрипты профиля: Проверьте дописки кода в конце файлов /etc/profile, ~/.bashrc, ~/.profile.
  • Profile scripts: Inspect code additions at the end of /etc/profile, ~/.bashrc, ~/.profile.
  • Profil skriptlari: /etc/profile, ~/.bashrc, ~/.profile fayllarining oxiriga shubhali kod yozilganligini tekshiring.

Использование сканеров руткитов

Rootkit Scanners

Rutkit skanerlari

Утилиты rkhunter и chkrootkit помогают выявлять LKM-модули ядра и признаки подмены исполняемых файлов:

The rkhunter and chkrootkit tools help detect LKM kernel modules and modified system binaries:

rkhunter va chkrootkit tizimda yashirilgan yadro modullari (LKM) hamda o'zgartirilgan binar fayllarni aniqlashga yordam beradi:

# Запуск проверки системы на наличие руткитов
sudo rkhunter --check --sk
sudo chkrootkit

Анализ дисковых образов и оперативной памяти

Применяется для офлайн-анализа, поиска удаленных файлов по сигнатурам и детального изучения процессов и сетевых сокетов в RAM.

Инструменты The Sleuth Kit (TSK)

Disk Images & Memory Forensics

Used for offline analysis, recovering deleted files via signatures, and detailed investigation of processes and network sockets in RAM.

The Sleuth Kit (TSK) Tools

Disk obrazlari va Operativ xotira tahlili

Oflayn tahlil qilish, o'chirilgan fayllarni signatura orqali qidirish hamda RAM dagi jarayonlar va tarmoq ulanishlarini chuqur tekshirish uchun ishlatiladi.

The Sleuth Kit (TSK) asboblari

# 1. Показать разметку и смещение разделов на диске
mmls disk.img

# 2. Вывести список удаленных файлов в разделе со смещением 2048
fls -r -p -d -o 2048 disk.img

# 3. Восстановить файл из образа по его номеру Inode (например, 14502)
icat -o 2048 disk.img 14502 > /tmp/recovered_file.php

Снятие и анализ дампов оперативной памяти

Live Memory Acquisition & Analysis

Operativ xotira nusxasini olish va tahlil qilish

Сбор данных с помощью модуля LiME

Acquisition with LiME Module

LiME moduli orqali xotira tasvirini yozish

# Сборка модуля и запуск копирования памяти в Raw формате
git clone https://github.com/504ensicsLabs/LiME.git && cd LiME/src && make
sudo insmod lime-$(uname -r).ko "path=/tmp/ram.lime format=raw"
sudo rmmod lime

Анализ дампа в Volatility 3

RAM Dump Analysis in Volatility 3

Volatility 3 yordamida RAM tahlili

Установите Volatility 3 из официального репозитория GitHub и запустите следующие команды:

Install Volatility 3 from the official GitHub repository and run these commands:

Volatility 3 dasturini rasmiy GitHub sahifasidan o'rnating va quyidagi buyruqlarni ishga tushiring:

# Показать дерево запущенных процессов в дампе памяти
python3 vol.py -f ram.lime linux.pstree.PsTree

# Показать открытые сетевые сокеты в памяти
python3 vol.py -f ram.lime linux.netstat.NetStat

# Сделать дамп исполняемого файла вредоносного процесса (например, PID 812)
python3 vol.py -f ram.lime -o /tmp/dump linux.pslist.PsList --pid 812 --dump

Автоматический сборщик форензик-данных (Triage Script)

В реальных условиях времени на ручной сбор всегда не хватает. Ниже приведен Bash-скрипт для триажа, который вы можете быстро запустить на исследуемом Linux-сервере.

Automated Forensic Collector (Triage Script)

In actual incident response, there is never enough time for manual evidence gathering. Below is a Bash script for triage that you can quickly run on the target Linux system.

Avtomatlashtirilgan ma'lumot yig'uvchi (Triage Skripti)

Haqiqiy kiberhodisa vaqtida qo'lda ma'lumot yig'ishga yetarli vaqt bo'lmaydi. Quyida tekshirilayotgan Linux serverda tezda ishga tushirish mumkin bo'lgan Triage Bash skripti keltirilgan.

Как использовать скрипт: How to Use the Script: Skriptdan foydalanish:

1. Скопируйте код скрипта ниже.
2. Создайте файл на Linux-сервере: nano triage.sh.
3. Сделайте его исполняемым: chmod +x triage.sh.
4. Запустите с правами суперпользователя: sudo ./triage.sh.

1. Copy the script code below.
2. Create a file on the Linux server: nano triage.sh.
3. Make it executable: chmod +x triage.sh.
4. Run it with root privileges: sudo ./triage.sh.

1. Quyidagi skript kodini nusxalang.
2. Linux serverda fayl yarating: nano triage.sh.
3. Unga ruxsat bering: chmod +x triage.sh.
4. root huquqi bilan ishga tushiring: sudo ./triage.sh.

#!/bin/bash
# collect_evidence.sh - Скрипт быстрого сбора форензик-данных (Triage / Live Response)
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

if [ "$EUID" -ne 0 ]; then
    echo "[!] Ошибка: запуск от имени root необходим."
    exit 1
fi

TIMESTAMP=$(date +%Y%m%d_%H%M%S)
OUT_DIR="/tmp/triage_$(hostname)_${TIMESTAMP}"
mkdir -p "$OUT_DIR"

run_cmd() {
    eval "$1" > "${OUT_DIR}/$2" 2>&1
}

echo "[*] Сбор системной информации..."
run_cmd "uname -a; uptime; date" "system_info.txt"
run_cmd "ip addr; ip route" "net_config.txt"
run_cmd "ss -tulnp" "net_listening_ports.txt"
run_cmd "ss -anp" "net_all_connections.txt"
run_cmd "ps auxwwf" "process_list.txt"
run_cmd "lsof -nP" "process_open_files.txt"
run_cmd "systemctl list-units --type=service --all" "systemd_services.txt"
run_cmd "ls -laR /etc/cron*" "cron_jobs.txt"

echo "[*] Копирование журналов..."
mkdir -p "$OUT_DIR/logs"
for log in auth.log secure syslog messages; do
    [ -f "/var/log/$log" ] && cp "/var/log/$log" "$OUT_DIR/logs/"
done
run_cmd "journalctl -n 5000 --no-pager" "logs/journalctl_tail.txt"

# Архивирование
tar -czf "/tmp/triage_$(hostname)_${TIMESTAMP}.tar.gz" -C "/tmp" "$(basename "$OUT_DIR")"
rm -rf "$OUT_DIR"
echo "[+] Сбор завершен. Файл: /tmp/triage_$(hostname)_${TIMESTAMP}.tar.gz"

Интерактивный конструктор команд (Command Builder)

Interactive Command Builder

Interaktiv buyruqlar konstruktori

Сконструируйте нужную команду для быстрого расследования:

Build the exact command you need for your investigation:

Tergov vaqtida kerakli buyruqni tezda yig'ib oling:

Симулятор сценариев (Incident Simulation)

Закрепите полученные знания на практике. Ответьте на проверочный вопрос по каждому сценарию, чтобы разблокировать пошаговую инструкцию по его решению.

Incident Simulation & Case Studies

Apply your knowledge in practice. Answer the verification question for each case to unlock the step-by-step resolution tutorial.

Kiberhodisalar ssenariylari simulyatori

Olingan bilimlaringizni amaliyotda sinab ko'ring. Ssenariy bo'yicha to'g'ri javobni tanlang va bosqichma-bosqich yechim yo'riqnomasini oching.

Кейс 1: Полное сокрытие следов (Очистка логов)

Case 1: Total Cover-up (Logs Deletion)

1-Keys: Izlarni to'liq o'chirish (Loglarni tozalash)

Описание инцидента: Атакующий взломал учетную запись пользователя. Перед уходом он удалил файл истории ~/.bash_history и очистил системные логи /var/log/auth.log с помощью перезаписи нулями. Вы обнаружили компрометацию, когда его сессия терминала всё еще открыта.

Incident Description: The attacker compromised a user account. Before disconnecting, they deleted the ~/.bash_history file and cleared system authorization logs in /var/log/auth.log by overwriting them with zeroes. You noticed the compromise while their terminal session is still open.

Hodisa tavsifi: Buzg'unchi foydalanuvchi hisobini buzib kirdi. Tizimdan chiqishdan oldin u ~/.bash_history faylini o'chirdi va /var/log/auth.log avtorizatsiya loglarini nollar bilan to'ldirib tashladi. Siz buzilishni uning SSH seansi hali ochiq turgan vaqtda aniqladingiz.

Какой наиболее эффективный способ быстро вытащить вредоносные команды, если файл истории стерт, но сессия SSH злоумышленника еще висит?
What is the most effective way to extract executed commands if the history file is deleted, but the attacker's SSH session is still active?
Tarix fayli o'chirilgan, ammo buzg'unchining SSH seansi hali ham faol bo'lsa, u kiritgan buyruqlarni ko'rishning eng samarali yo'li qaysi?
Сделать дамп памяти процесса bash с помощью gcore и извлечь строки утилитой strings Dump the memory of the bash process using gcore and extract strings with strings gcore orqali bash jarayoni xotirasidan tasvir (dump) olib, strings bilan buyruqlarni ajratib olish
Попробовать выполнить cat ~/.bash_history с правами суперпользователя Try running cat ~/.bash_history with root privileges Root huquqi ostida cat ~/.bash_history buyrug'ini ishga tushirish
Использовать команду lastb для просмотра неудачных входов Use the lastb command to check failed login attempts Muvaffaqiyatsiz urinishlarni tekshirish uchun lastb buyrug'idan foydalanish

Решение Кейса 1

Case 1 Resolution

1-Keys Yechimi

Правильный ответ: Сделать дамп памяти процесса bash. Команды сессии bash хранятся в буфере процесса до тех пор, пока терминал не будет закрыт. Если сделать дамп памяти процесса bash с помощью gcore, можно прочитать историю.

Correct Answer: Dump the memory of the bash process. The commands in an active bash session are stored in process buffer until the shell is closed. Running gcore allows you to dump process memory and inspect executed commands.

To'g'ri javob: bash jarayoni xotirasidan tasvir olish. Faol bash seansidagi buyruqlar terminal yopilmaguncha jarayon buferida saqlanadi. gcore (gdb paketi) orqali seans xotirasini dump qilish yordamida buyruqlarni o'qish mumkin.

# Находим PID процесса bash / Find bash PID / Bash PID ni aniqlaymiz
ps -ef | grep bash

# Снимаем дамп памяти (PID=1532) / Dump memory / Xotira tasvirini olamiz
sudo gcore -o /tmp/bash_mem 1532

# Извлекаем строки / Extract commands / Buyruqlarni matn shaklida ajratamiz
strings /tmp/bash_mem.1532 | grep -E '^([a-zA-Z0-9_\-\.\/]+ )+' | tail -n 100

Если лог-файлы были удалены, но syslog-демон еще удерживает их, скопируйте их из /proc:

If log files were deleted but still held by syslog daemon, copy them from /proc:

Agar log fayllari o'chirilgan bo'lsa-da syslog xizmati ularni ushlab turgan bo'lsa, ularni /proc dan nusxalang:

# Ищем удаленные открытые файлы / Find deleted open files / O'chirilgan faol fayllarni qidiramiz
sudo lsof +L1 | grep -i delete

# Восстанавливаем (PID 742, FD 4) / Copy file descriptor / Tiklash buyrug'i
sudo cp /proc/742/fd/4 /tmp/recovered_auth.log

Кейс 2: Подмена системного демона (Бэкдор)

Case 2: Modified System Daemon (Backdoor)

2-Keys: Tizim xizmati faylini o'zgartirish (Bekdor)

Описание инцидента: Атакующий подменил один из исполняемых системных файлов (например, /usr/sbin/sshd), чтобы входить в систему под секретным мастер-паролем, который игнорирует стандартную авторизацию. Сетевая активность выглядит стандартно, так как он слушает порт SSH (22).

Incident Description: The attacker replaced one of the executable system files (e.g. /usr/sbin/sshd) to log into the system with a secret master password that bypasses regular authentication. Network activity looks normal since it listens on the default SSH port (22).

Hodisa tavsifi: Buzg'unchi tizim binar fayllaridan birini (masalan, /usr/sbin/sshd) o'zgartirib qo'ydi, bu unga maxfiy master-parol orqali avtorizatsiyani chetlab o'tib kirish imkonini beradi. Tarmoq soketlari shubhali ko'rinmaydi, chunki u standart SSH portida (22) ishlamoqda.

Каким инструментом на серверах Debian/Ubuntu можно быстро сверить контрольные суммы бинарных файлов с репозиторием и выявить несанкционированную модификацию?
Which tool on Debian/Ubuntu servers can quickly verify control sums of binary files against the repository to detect unauthorized modifications?
Debian/Ubuntu tizimlarida binar fayllarning nazorat summalarini repozitoriy bilan solishtirish va o'zgartirishlarni aniqlash uchun qaysi dastur qo'llaniladi?
Утилитой chkrootkit The chkrootkit utility chkrootkit dasturi orqali
С помощью проверки debsums -cs By performing a debsums -cs check debsums -cs tekshiruvini amalga oshirish orqali
Чтением файла /etc/ssh/sshd_config By reading the /etc/ssh/sshd_config file /etc/ssh/sshd_config sozlamalarini o'qish orqali

Решение Кейса 2

Case 2 Resolution

2-Keys Yechimi

Правильный ответ: debsums -cs. Утилита debsums сверяет MD5-суммы всех установленных бинарников с оригинальными хэшами, предоставленными мейнтейнерами пакетов при их установке.

Correct Answer: debsums -cs. The debsums utility compares MD5 hashes of all installed binaries with original hashes provided by package maintainers at the time of installation.

To'g'ri javob: debsums -cs. debsums utilitasi tizimga o'rnatilgan barcha binar fayllarning MD5 xeshlarini paket menejeridagi original qiymatlar bilan solishtirib chiqadi.

# Установка / Install / O'rnatish
sudo apt install debsums -y

# Запуск сканирования / Scan files / Skanerlash
sudo debsums -cs

На RPM-системах (CentOS, RedHat, Rocky Linux) аналогичная проверка встроена в менеджер пакетов:

On RPM-based systems (CentOS, RedHat, Rocky Linux), the same check is built into the package manager:

RPM tizimlarida (CentOS, RedHat, Rocky Linux) ushbu tekshiruv paket menejerining o'ziga o'rnatilgan:

rpm -Va

Кейс 3: Скрытый процесс и удаленные исходники

Case 3: Hidden Process & Deleted Code

3-Keys: Yashirin jarayon va o'chirilgan kodlar

Описание инцидента: Атакующий проник через уязвимость в веб-сервере, запустил в памяти бэкдор и удалил исходный код скрипта из директории /var/www/html/, чтобы скрыть следы уязвимости. У вас есть образ диска disk.raw и дамп оперативной памяти ram.lime.

Incident Description: The attacker compromised a web server, ran a backdoor in memory, and deleted the PHP code from /var/www/html/ to cover their tracks. You are provided with a disk image disk.raw and a memory dump ram.lime.

Hodisa tavsifi: Buzg'unchi veb-serverdagi zaiflik orqali kirib, xotirada bekdor ishga tushirdi va izlarni tozalash uchun /var/www/html/ ichidagi kodlarni o'chirib tashladi. Sizda disk.raw disk obrazi va ram.lime xotira tasviri bor.

С помощью какого плагина Volatility 3 можно скопировать (выгрузить на диск) тело исполняемого файла подозрительного процесса из дампа оперативной памяти для реверс-анализа?
Which Volatility 3 plugin allows you to dump a suspicious process binary from memory to disk for reverse engineering?
Volatility 3 dasturining qaysi plagini orqali shubhali jarayonning binar faylini operativ xotiradan tahlil qilish uchun diskka yuklab olish mumkin?
linux.pstree.PsTree
foremost -i ram.lime
linux.pslist.PsList с аргументом --dump linux.pslist.PsList with the --dump argument linux.pslist.PsList buyrug'i --dump parametri bilan

Решение Кейса 3

Case 3 Resolution

3-Keys Yechimi

Правильный ответ: linux.pslist.PsList --dump. Этот плагин в Volatility 3 позволяет выгружать исполняемые файлы (ELF) непосредственно из сохраненных страниц виртуальной памяти.

Correct Answer: linux.pslist.PsList --dump. This plugin in Volatility 3 dumps process executable files (ELFs) directly from saved virtual memory pages.

To'g'ri javob: linux.pslist.PsList --dump. Ushbu plagin Volatility 3 tizimida jarayonning binar (ELF) faylini operativ xotiradagi sahifalardan yig'ib diskka yozib beradi.

# Поиск сетевых сокетов / Search net sockets / Tarmoq ulanishlarini tekshiramiz
python3 vol.py -f ram.lime linux.netstat.NetStat

# Выгружаем бинарник (PID 812) / Dump process executable / Binar faylni xotiradan ajratamiz
python3 vol.py -f ram.lime -o /tmp/dump linux.pslist.PsList --pid 812 --dump

Для восстановления удаленных исходников с диска используйте Sleuth Kit:

To recover deleted files from the disk image, use Sleuth Kit:

O'chirilgan kodlarni diskdan tiklash uchun Sleuth Kit dan foydalanamiz:

# Поиск удаленного файла / Search deleted files / O'chirilgan fayllarni qidirish
fls -r -p -d -o 2048 disk.raw | grep "var/www/html"
# Находим Inode (например, 14502) / Find Inode / Inode raqamini aniqlaymiz

# Восстановление / Recover content / Tiklab olish
icat -o 2048 disk.raw 14502 > /tmp/recovered_index.php