Cosa fa#
Fornisce una serie di comandi da terminale per analizzare lo stato di un sistema Linux durante la fase di Identification di un incidente, cercando tracce di compromissione in processi, file e rete.
Analisi Processi e Servizi#
| Comando | Cosa cercare | Perché |
|---|---|---|
ps -aux | Processi con UID 0 (root) | Identificare privilege escalation o processi root non autorizzati. |
ps -ef | Albero dei processi completo | Capire chi ha generato un processo sospetto (Parent PID). |
lsof -p [PID] | File e porte aperti dal processo | Capire se un processo sta comunicando con l'esterno o leggendo file sensibili. |
lsof +L1 | Processi con file eliminati | Scovare malware che ha cancellato il proprio eseguibile dal disco per nascondersi. |
Analisi Rete#
| Comando | Significato | Obiettivo Blue Team | |
|---|---|---|---|
ip link | grep PROMISC` | Modalità promiscua | Rilevare packet sniffer non autorizzati in esecuzione. |
netstat -nap | Porte e connessioni attive | Trovare backdoor o Reverse Shell (es: porte sospette come 4444). | |
ss -tulpn | Versione moderna di netstat | Più veloce e dettagliata per socket TCP/UDP. | |
arp -a | Tabella ARP | Rilevare dispositivi "rogue" o attacchi di ARP Poisoning nella rete locale. |
Analisi Filesystem#
| Comando | Obiettivo | Tip Investigativo |
|---|---|---|
find / -size +50M -print | Trovare file molto grandi | Cercare archivi pronti per l'esfiltrazione (solitamente in /tmp). |
uptime | Tempo di attività | Un uptime insolitamente basso indica un riavvio forzato dall'attaccante. |
free -m | Utilizzo RAM | Rilevare picchi di memoria causati da scanner, miner o cifratura (Ransomware). |
df -h | Spazio disco disponibile | Un disco che si riempie all'improvviso può indicare logging massivo o staging di dati. |
Analisi Log e Timeline#
La maggior parte dei log si trova in /var/log/.
tail -f /var/log/auth.log: Monitoraggio in tempo reale dei tentativi di login.last -f /var/log/wtmp: Storia degli ultimi login riusciti.lastb -f /var/log/btmp: Storia dei login falliti (ottimo per individuare Brute Force).more /var/log/messages: Log di sistema generali per errori insoliti.
Scenario Reale#
Ricevi un alert per traffico insolito sulla porta 4444.
- Esegui
ss -tulpn | grep 4444per trovare il PID del processo. - Usi
ps -p [PID] -uper vedere chi lo ha lanciato. - Usi
lsof -p [PID]per vedere dove si trova l'eseguibile. - Se il file non esiste, usi
lsof +L1per confermare che il malware è in esecuzione solo in memoria.
Collegato a#
- system — Hub Categoria
- incident-response-lifecycle — Fase di Identification
- soc-tiers — Strumenti per Tier 1/2
