Нахождение взломанного сервера

Я просто просматривал сайт и нашел вопрос: мой сервер был взломан АВАРИЙНО . В основном вопрос говорит: мой сервер был взломан. Что я должен делать?

Лучший ответ отлично , но возникли некоторые вопросы , на мой взгляд. Одним из предложенных шагов является:

Изучите «атакованные» системы, чтобы понять, как атаки смогли поставить под угрозу вашу безопасность. Приложите все усилия, чтобы выяснить, откуда произошли атаки, чтобы вы понимали, какие проблемы у вас есть, и которые необходимо решить, чтобы обеспечить безопасность вашей системы в будущем.

Я не работал с системным администратором, поэтому понятия не имею, как мне начать это делать. Каким будет первый шаг? Я знаю, что вы можете посмотреть в лог-файлах сервера, но в качестве злоумышленника первым делом я бы удалил лог-файлы. Как бы вы «поняли», как атаки были успешными?

Я начну с того, что скажу следующее: если у вас НЕТ ФАЙЛОВ , то есть достаточно хороший шанс, что вы НИКОГДА не поймете, где или как атака была успешной. Даже при наличии полных и правильных файлов журнала может быть крайне сложно полностью понять, кто, что, где, когда, почему и как.

Итак, зная, насколько важны файлы журналов, вы начинаете понимать, насколько безопасно их хранить. Вот почему компании делают и должны инвестировать в информацию о безопасности и управлении событиями или SIEM для краткости.

Короче говоря, корреляция всех ваших файлов журнала в определенные события (основанные на времени или иным образом) может быть чрезвычайно сложной задачей. Просто посмотрите на системные журналы брандмауэра в режиме отладки, если вы мне не верите. И это только от одного прибора! Процесс SIEM помещает эти файлы журнала в серию логических событий, что значительно упрощает понимание происходящего.

Чтобы лучше понять, как, полезно изучить методологии проникновения .

Также полезно знать, как пишется вирус . Или как написать руткит .

Это также может быть чрезвычайно полезно для настройки и изучения honeypot .

Это также помогает иметь анализатор логов и стать опытным с ним.

Полезно собрать базовый уровень для вашей сети и систем. Что такое "нормальный" трафик в вашей ситуации против "ненормального" трафика?

CERT имеет отличное руководство о том, что делать после того, как ваш компьютер был взломан, в частности (что непосредственно относится к вашему конкретному вопросу) в разделе «Анализ вторжения»:

• Посмотрите на изменения, внесенные в системное программное обеспечение и файлы конфигурации
• Ищите модификации к данным
• Ищите инструменты и данные, оставленные злоумышленником
• Просмотр файлов журнала
• Ищите признаки сетевого сниффера
• Проверьте другие системы в вашей сети
• Проверьте, задействованы или затронуты системы на удаленных сайтах

Есть много вопросов, похожих на ваш, которые были заданы на SF:

1. Как сделать вскрытие сервера взломать
2. Странные элементы в файле Hosts и Netstat
3. это попытка взлома?
4. Как я могу изучить Linux с точки зрения взлома или безопасности?

Это может быть чрезвычайно запутанным и сложным процессом. Большинство людей, включая меня, просто наняли бы консультанта, если бы он занимался чем-то большим, чем то, что могли бы собрать мои приборы SIEM.

И, очевидно, если вы когда-нибудь захотите ПОЛНОСТЬЮ понять, как ваши системы были взломаны, вам придется потратить годы на их изучение и отказаться от женщин.

Ответ на этот небольшой кусочек может быть шириной в миллион миль и высотой, и разоблачение того, что случилось со взломанным сервером, может быть почти искусством, как и все остальное, поэтому я снова приведу отправные точки и примеры, а не окончательный набор шагов, чтобы следовать.

Следует иметь в виду, что, столкнувшись с вторжением, вы можете провести аудит своего кода, системного администрирования / конфигурации и процедур, зная, что в них определенно есть слабость. Это помогает мотивировать больше, чем искать теоретическую слабость, которая может быть или не быть. Довольно часто люди выкладывают вещи в Интернет, зная, что код мог бы быть проверен немного сложнее, если бы у нас было время; или система заблокировалась немного более жестко, если только это не было так неудобно; или процедуры стали немного жестче, если босс не помнил длинные пароли. Мы все знаем, где наши наиболее вероятные слабые места, поэтому начните с них.

В идеальном мире вы будете хранить журналы на другом (возможно не скомпрометированном) сервере системного журнала, причем не только с серверов, но и с любых межсетевых экранов, маршрутизаторов и т. Д., Которые также регистрируют трафик. Существуют также такие инструменты, как Nessus, которые могут анализировать систему и искать слабые места.

Что касается программного обеспечения / фреймворков от сторонних производителей, то часто есть рекомендации, которые вы можете использовать для аудита своего развертывания, или вы можете уделять больше внимания новостям по безопасности и графикам исправлений и обнаруживать некоторые дыры, которые могли быть использованы.

Наконец, большинство вторжений оставляют спор ... если у вас есть время и терпение, чтобы найти его. Сценарий «Drive by». Детское вторжение или взломы с использованием хакерских наборов инструментов, как правило, фокусируются на общих слабостях и могут оставить шаблон, который указывает вам правильное направление. Самым сложным для анализа может быть ручное вторжение (например, кто-то не хотел взломать «веб-сайт», а вместо этого хотел специально взломать «ваш» веб-сайт), и это, конечно, самые важные вещи для понимания.

Для кого-то, кто действительно не знает, с чего начать (или даже для опытных людей, у которых есть другие обязанности), первый шаг - это, вероятно, нанять человека с хорошим опытом вышеупомянутых шагов. Еще одним преимуществом такого подхода является то, что они будут смотреть на ваши настройки без каких-либо предвзятых мнений или личной заинтересованности в ответах.

«Я знаю, что вы можете посмотреть в лог-файлах сервера, но в качестве злоумышленника первым делом я бы удалил лог-файлы».

В зависимости от типа компрометации злоумышленник может не иметь достаточно высоких прав на скомпрометированном сервере, чтобы иметь возможность удалить журналы. Рекомендуется также хранить журналы сервера в автономном режиме на другом сервере, чтобы предотвратить подделку (экспортируется автоматически через определенные промежутки времени).

Помимо скомпрометированных журналов сервера, по-прежнему существуют сетевые журналы (брандмауэр, маршрутизатор и т. Д.), А также журналы аутентификации из службы каталогов, если таковые имеются (Active Directory, RADIUS и т. Д.)

Таким образом, просмотр журналов - все еще одна из лучших вещей, которую можно сделать.

Когда речь идет о скомпрометированной коробке, просеивание логов - это всегда один из моих главных способов сложить то, что произошло.

-Josh