วิธีทำชันสูตรของเซิร์ฟเวอร์แฮ็ค


29

ฉันมีเครื่อง Windows Server 2003 SP2 ที่ติดตั้ง IIS6, SQL Server 2005, MySQL 5 และ PHP 4.3 อยู่ นี่ไม่ใช่เครื่องจักรที่ใช้ในการผลิต แต่มันถูกเปิดเผยไปทั่วโลกผ่านชื่อโดเมน เดสก์ท็อประยะไกลเปิดใช้งานบนเครื่องและมีบัญชีผู้ใช้สองบัญชีที่ใช้งานอยู่

เช้านี้ฉันพบว่าเครื่องนั้นถูกออกจากระบบด้วยชื่อผู้ใช้ uknown ที่ยังอยู่ในกล่องข้อความเข้าสู่ระบบ จากการตรวจสอบต่อไปฉันพบว่ามีผู้ใช้ windows สองตัวถูกสร้างขึ้นโปรแกรมป้องกันไวรัสได้ถูกถอนการติดตั้งและไฟล์. exe ที่ได้ถูกปล่อยลงในไดรฟ์ C:

สิ่งที่ฉันอยากรู้คือฉันควรทำอย่างไรในขั้นตอนต่าง ๆ เพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้นอีกและฉันควรมุ่งเน้นไปที่การกำหนดเส้นทางการเข้า ฉันได้ตรวจสอบ netstat -a แล้วเพื่อดูว่าพอร์ตใดเปิดอยู่และไม่มีอะไรแปลก ๆ ที่นั่น ฉันพบไฟล์ที่ไม่รู้จักในโฟลเดอร์ข้อมูลสำหรับ MySQL ซึ่งฉันคิดว่าอาจเป็นจุดเริ่มต้น แต่ฉันไม่แน่ใจ

ฉันขอขอบคุณขั้นตอนในการทำการแฮ็กเซิร์ฟเวอร์ที่ดีเพื่อให้ฉันสามารถหลีกเลี่ยงปัญหานี้ได้ในอนาคต

โพสต์รีวิวการสืบสวน

หลังจากการสอบสวนฉันคิดว่าฉันพบสิ่งที่เกิดขึ้น ครั้งแรกที่เครื่องไม่ได้รับการออนไลน์ในช่วงเวลาของเดือนสิงหาคม '08 ถึงตุลาคม '09 ในช่วงเวลานั้นกรอบช่องโหว่ความปลอดภัยที่ถูกค้นพบที่MS08-067 ช่องโหว่ "นี่เป็นช่องโหว่การเรียกใช้รหัสจากระยะไกลผู้โจมตีที่ประสบความสำเร็จในการโจมตีช่องโหว่นี้สามารถควบคุมระบบที่ได้รับผลกระทบจากระยะไกลได้อย่างสมบูรณ์บนระบบที่ใช้ Microsoft Windows 2000, ที่ใช้ Windows XP และ Windows Server 2003 ผู้โจมตีสามารถโจมตีได้ ช่องโหว่นี้ผ่าน RPC โดยไม่ต้องมีการตรวจสอบสิทธิ์และสามารถเรียกใช้รหัสโดยอำเภอใจได้ " ช่องโหว่นี้ได้รับการแก้ไขด้วย KB958644 Security Update ซึ่งออกมาในเดือนตุลาคม 2551

เนื่องจากเครื่องออฟไลน์ในเวลานั้นและพลาดการอัพเดทนี้ฉันเชื่อว่าช่องโหว่นี้ถูกโจมตีในไม่ช้าหลังจากที่เครื่องกลับมาออนไลน์ในเดือนตุลาคมปี '09 ผมพบว่าการอ้างอิงไปยังโปรแกรม bycnboy.exe ซึ่งได้รับการอธิบายว่าโปรแกรมลับๆซึ่งจะสร้างความเสียหายมากในระบบที่ติดเชื้อ ไม่นานหลังจากที่เครื่องออนไลน์การอัพเดตอัตโนมัติจะติดตั้งโปรแกรมแก้ไขซึ่งปิดความสามารถในการควบคุมระบบจากระยะไกล เนื่องจากขณะนี้แบ็คดอร์ถูกปิดฉันเชื่อว่าผู้โจมตีสร้างบัญชีทางกายภาพบนเครื่องและสามารถใช้งานเครื่องได้อีกหนึ่งสัปดาห์จนกว่าฉันจะสังเกตเห็นว่าเกิดอะไรขึ้น

หลังจากกำจัดโค้ดที่เป็นอันตราย, .exes และ. dll อย่างจริงจังลบเว็บไซต์ที่โฮสต์ด้วยตนเองและบัญชีผู้ใช้เครื่องจะกลับมาทำงานอีกครั้งในสถานะใช้งาน ในอนาคตอันใกล้ฉันจะตรวจสอบระบบและตรวจสอบบันทึกเซิร์ฟเวอร์เพื่อพิจารณาว่ามีเหตุการณ์เกิดขึ้นซ้ำ ๆ หรือไม่

ขอบคุณสำหรับข้อมูลและขั้นตอนที่ให้ไว้

คำตอบ:


28

การทำชันสูตรศพเป็นงานศิลปะสีดำในตัวของมันเอง มันแตกต่างกันเล็กน้อยในแต่ละครั้งเพราะจริงๆแล้วไม่มี break-ins เหมือนกัน เมื่อทราบแล้วภาพรวมพื้นฐานของกระบวนการที่แนะนำของฉันอยู่ด้านล่างโดยมีหมายเหตุเฉพาะบางประการเกี่ยวกับสถานการณ์ของคุณ:

  1. ปลดการเชื่อมต่อเครื่องจากเครือข่าย (จริง ๆ ทำทันที)
  2. ขั้นตอนเพิ่มเติม: สร้างสำเนาภาพไบนารีของฮาร์ดไดรฟ์เพื่อใช้ในอนาคต
  3. ทำสำเนาไฟล์บันทึกข้อมูลที่มีค่าและอื่น ๆ ลงในฮาร์ดไดรฟ์ที่ถอดออกได้
    • เลือกคัดลอก "เครื่องมือแฮ็กเกอร์" ที่คุณพบเช่นกัน
  4. เริ่มต้นชันสูตรที่แท้จริง ในกรณีของคุณ:
    • บันทึกบัญชีผู้ใช้ใหม่หรือที่หายไป ดูว่าโฟลเดอร์โฮมของพวกเขามีเนื้อหา "น่าสนใจ" หรือไม่
    • บันทึกไฟล์โปรแกรม / ไบนารี / ข้อมูลใหม่หรือที่หายไป
    • ตรวจสอบล็อก MySQL ก่อน - มองหาสิ่งที่ "ผิดปกติ"
    • ตรวจสอบบันทึกเซิร์ฟเวอร์ที่เหลือ ดูว่าคุณสามารถค้นหาผู้ใช้ใหม่ที่ถูกสร้างที่อยู่ที่พวกเขาเข้าสู่ระบบ ฯลฯ
    • ค้นหาหลักฐานความเสียหายของข้อมูลหรือการโจรกรรม
  5. เมื่อคุณพบสาเหตุของปัญหาให้สังเกตวิธีการป้องกันไม่ให้เกิดขึ้นอีกครั้ง
  6. ล้างเซิร์ฟเวอร์ให้สะอาด: จัดรูปแบบและติดตั้งใหม่ทุกอย่างคืนค่าข้อมูลของคุณ & เสียบหลุมเดิมด้วยบันทึกย่อของคุณจาก # 5

โดยปกติคุณจะทำตามขั้นตอนที่ 2 หากคุณเกี่ยวข้องกับการบังคับใช้กฎหมาย คุณดำเนินการขั้นตอนที่ 3 เพื่อให้คุณสามารถตรวจสอบข้อมูลหลังจากเซิร์ฟเวอร์สร้างใหม่โดยไม่ต้องอ่านสำเนารูปภาพที่คุณทำในขั้นตอนที่ 2

รายละเอียดขั้นตอนที่ 4 ขึ้นอยู่กับเป้าหมายของคุณเพียงแค่เสียบรูเป็นการสอบสวนที่แตกต่างจากการติดตามว่าใครขโมยข้อมูลที่มีค่าบ้าง :)

ขั้นตอนที่ 6 เป็นสิ่งสำคัญสำหรับ IMHO คุณไม่ "แก้ไข" โฮสต์ที่ถูกบุกรุก: คุณล้างข้อมูลและเริ่มต้นจากสถานะที่ดีที่รู้จัก สิ่งนี้ทำให้มั่นใจได้ว่าคุณจะไม่พลาดนักเก็ตที่น่ารังเกียจทิ้งไว้ในกล่องเพราะระเบิดเวลา

นี่ไม่ใช่โครงร่างการชันสูตรที่สมบูรณ์ ฉันทำเครื่องหมายนี้เป็นวิกิชุมชนเพราะฉันมักจะมองหาการปรับปรุงกระบวนการ - ฉันไม่ได้ใช้บ่อย :-)


3
ฉันไม่มีประสบการณ์ที่จะทำอะไรแบบนี้ แต่คำแนะนำของ Security Monkey หากคุณกำลังจะถ่ายรูปเครื่องจักรที่ใช้ในการสืบสวนคือการดึงสายไฟจับภาพฮาร์ดไดรฟ์แล้วเริ่มตรวจสอบ (ลิงรักษาความปลอดภัย: it.toolbox.com/blogs/securitymonkey )
MattB

1
Security Monkey ไม่ทำงาน - คุณต้องการหยุดเครื่องเย็น (ดึงสายไฟ) เมื่อคุณไปที่ภาพ การปิดและ / หรือการเริ่มต้นสามารถเดินทางทำลายตัวเองหรือรหัสการทำความสะอาด & ​​yanking พลังงานป้องกันไม่ให้เกิดขึ้นก่อนที่คุณจะสามารถสร้างภาพของคุณ
voretaq7

2
นอกจากนี้ - ฉันจะบอกว่าคุณไม่ควรเชื่อถือผลลัพธ์ของคำสั่ง "built in" ในระบบที่ถูกแฮ็กเช่น netstat (หรือ dir เป็นต้น) อีกครั้งฉันไม่มีประสบการณ์โดยตรงกับสิ่งนี้ในระดับองค์กร แต่ฉันจำได้ว่าถูกแฮ็ก บนเครื่องส่วนตัวที่เป็นส่วนหนึ่งของการแฮ็คเพื่อแทนที่เครื่องมือที่สร้างขึ้นเพื่อปกปิดสิ่งที่เกิดขึ้นจริง
MattB

4
+1 ขั้นตอนที่ 6 มีความสำคัญคุณไม่ทราบว่า netstat กำลังแสดงความจริงกับคุณโดยไม่วิเคราะห์ปริมาณการใช้เครือข่ายจริง - และในตัวมันเองนั้นค่อนข้างซับซ้อนและเป็นการทดสอบความอดทน ... ดังนั้นเช็ดมัน มันไม่ใช่กล่องของคุณอีกต่อไป วิเคราะห์ภาพทั้งหมดที่คุณต้องการ แต่เช็ดเครื่องแช่ง;)
Oskar Duveborn

1
ฉันจะบอกว่าคุณน่าจะทำขั้นตอนที่ 2 ได้ดีกว่าทุกครั้งเนื่องจากคุณไม่แน่ใจในสิ่งที่คุณพบในระหว่างการสอบสวน การมีภาพไบนารีก็หมายความว่าคุณสามารถให้คนอื่นมองสิ่งต่าง ๆ ได้โดยใช้สำเนา
Vatine
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.