ฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร


601

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์ - การตอบสนองต่อการละเมิดเหตุการณ์ (แฮ็ค)
ดูเพิ่มเติมที่:

Canonical Version
ฉันสงสัยว่าเซิร์ฟเวอร์ของฉันอย่างน้อยหนึ่งตัวถูกโจมตีโดยแฮกเกอร์ไวรัสหรือกลไกอื่น ๆ :

  • ขั้นตอนแรกของฉันคืออะไร เมื่อฉันมาถึงที่ไซต์ฉันควรยกเลิกการเชื่อมต่อเซิร์ฟเวอร์รักษา "หลักฐาน" มีการพิจารณาเบื้องต้นอื่น ๆ อีกหรือไม่
  • ฉันจะให้บริการออนไลน์ได้อย่างไร
  • ฉันจะป้องกันไม่ให้สิ่งเดียวกันเกิดขึ้นอีกครั้งในทันทีได้อย่างไร
  • มีวิธีปฏิบัติที่ดีที่สุดหรือวิธีการเรียนรู้จากเหตุการณ์นี้หรือไม่?
  • หากฉันต้องการจัดทำแผนรับมือเหตุการณ์ไว้ด้วยกันฉันจะเริ่มที่ไหนดี นี่ควรเป็นส่วนหนึ่งของการกู้คืนความเสียหายหรือการวางแผนความต่อเนื่องทางธุรกิจของฉันหรือไม่

รุ่นเดิม

2011.01.02 - ฉันกำลังเข้าสู่การทำงานเวลา 21.30 น. ในวันอาทิตย์เพราะเซิร์ฟเวอร์ของเราถูกบุกรุกอย่างใดและส่งผลให้เกิดการ จู่โจมดอสบนผู้ให้บริการของเรา เซิร์ฟเวอร์ที่เข้าถึงอินเทอร์เน็ตถูกปิดลงซึ่งหมายความว่ามีลูกค้าของเรามากกว่า 5-600 รายในขณะนี้ ตอนนี้อาจเป็นแฮ็ค FTP หรือจุดอ่อนในโค้ดบางแห่ง ฉันไม่แน่ใจจนกว่าฉันจะไปถึงที่นั่น

ฉันจะติดตามสิ่งนี้ลงอย่างรวดเร็วได้อย่างไร เราอยู่ในการดำเนินคดีทั้งหมดหากฉันไม่ได้รับเซิร์ฟเวอร์สำรองโดยเร็ว ความช่วยเหลือใด ๆ ที่ชื่นชม เรากำลังเรียกใช้ Open SUSE 11.0


2011.01.03 - ขอบคุณทุกคนสำหรับความช่วยเหลือของคุณ โชคดีที่ฉันไม่ใช่คนเดียวที่รับผิดชอบเซิร์ฟเวอร์นี้ เราจัดการเพื่อแก้ไขปัญหานี้แม้ว่าอาจไม่สามารถใช้ได้กับคนอื่น ๆ ในสถานการณ์ที่แตกต่างกัน ฉันจะให้รายละเอียดสิ่งที่เราทำ

เราถอดปลั๊กเซิร์ฟเวอร์จากเน็ต กำลังดำเนินการ (พยายามที่จะดำเนินการ) การโจมตี Denial Of Service บนเซิร์ฟเวอร์อื่นในอินโดนีเซียและพรรคที่มีความผิดก็อยู่ที่นั่นเช่นกัน

ก่อนอื่นเราพยายามระบุว่าเซิร์ฟเวอร์นี้มาจากที่ใดเนื่องจากเรามีไซต์มากกว่า 500 ไซต์บนเซิร์ฟเวอร์เราคาดว่าจะมีแสงจันทร์ในบางครั้ง อย่างไรก็ตามด้วยการเข้าถึง SSH เราจึงเรียกใช้คำสั่งเพื่อค้นหาไฟล์ทั้งหมดที่แก้ไขหรือสร้างขึ้นในเวลาที่การโจมตีเริ่มต้นขึ้น โชคดีที่ไฟล์ละเมิดถูกสร้างขึ้นในช่วงวันหยุดฤดูหนาวซึ่งหมายความว่ามีไฟล์อื่น ๆ อีกไม่กี่ไฟล์ที่ถูกสร้างขึ้นบนเซิร์ฟเวอร์ในเวลานั้น

จากนั้นเราสามารถระบุไฟล์ที่ละเมิดซึ่งอยู่ในโฟลเดอร์ภาพที่อัปโหลดภายในเว็บไซต์ZenCart

หลังจากหยุดพักบุหรี่สั้น ๆ เราได้ข้อสรุปว่าเนื่องจากตำแหน่งไฟล์จะต้องอัปโหลดผ่านสถานที่อัปโหลดไฟล์ที่ปลอดภัยไม่เพียงพอ หลังจาก googling เราพบว่ามีช่องโหว่ด้านความปลอดภัยที่อนุญาตให้อัปโหลดไฟล์ภายในแผงผู้ดูแลระบบ ZenCart สำหรับรูปภาพสำหรับ บริษัท แผ่นเสียง (ส่วนที่ไม่เคยใช้จริง ๆ ) โพสต์แบบฟอร์มนี้เพิ่งอัปโหลดไฟล์ใด ๆ มันไม่ได้ตรวจสอบส่วนขยายของไฟล์และไม่ได้ตรวจสอบเพื่อดูว่าผู้ใช้ลงชื่อเข้าใช้

ซึ่งหมายความว่าสามารถอัปโหลดไฟล์ใดก็ได้รวมถึงไฟล์ PHP สำหรับการโจมตี เรารักษาความปลอดภัยด้วย ZenCart บนเว็บไซต์ที่ติดเชื้อและลบไฟล์ที่ละเมิด

งานเสร็จแล้วและฉันกลับถึงบ้านเวลาตีสอง


The Moral - ใช้แพทช์รักษาความปลอดภัยสำหรับ ZenCart หรือระบบ CMS อื่น ๆ เสมอสำหรับเรื่องนั้น เมื่อมีการเปิดตัวการปรับปรุงความปลอดภัยโลกทั้งโลกตระหนักถึงความอ่อนแอ - ทำสำเนาสำรองเสมอและสำรองข้อมูลสำรองของคุณ - จ้างหรือจัดการกับคนที่จะมาถึงในเวลาเช่นนี้ เพื่อป้องกันไม่ให้ทุกคนพึ่งพาโพสต์ที่น่ากลัวในความผิดพลาดของเซิร์ฟเวอร์


7
ฉันรู้ว่าคุณรู้สึกอย่างไร - เราโชคดีมากที่มี "แฮ็กเกอร์" ที่เป็นประโยชน์ในเว็บไซต์นี้ซึ่งพวกเขาบอกเราว่าพวกเขาทำอะไรไปแล้ว! ฉันหวังว่าจะได้คำตอบที่ดีสำหรับคำถามนี้ในกรณีที่เราได้รับแขก "ไม่ให้ประโยชน์" ในอนาคต
Jarrod Dixon

186
โทรหามืออาชีพเพื่อช่วย!
marcog

103
ฉันไม่ต้องการให้เสียงสมาร์ทชุดหรือไม่เห็นใจ (ฉันไม่ใช่) และแน่นอนฉันไม่รู้รายละเอียดของสถานการณ์ของคุณ แต่ถ้าคุณเป็นคนเดียวที่รับผิดชอบในการตั้งค่าไซต์ 500-600 อาจมี เป็นข้อบกพร่องพื้นฐานในการเรียกใช้เซิร์ฟเวอร์นี้ บริษัท บางแห่งใช้ระบบดูแลระบบเฉพาะที่ไม่ได้ทำอะไรอย่างอื่นตลอดทั้งวัน แต่ดูแลเซิร์ฟเวอร์ - งานที่ไม่ได้อยู่ในขอบเขตของโปรแกรมเมอร์โดยอัตโนมัติแม้ว่ามันอาจดูเหมือนเป็นอย่างนั้นก็ตาม บางทีนั่นอาจเป็นสิ่งที่ควรพิจารณาเมื่อเกิดวิกฤตเศรษฐกิจ ยังไงก็ตามตอนนี้ขอให้โชคดีในการแก้ไขสถานการณ์ในมือ
Pekka 웃

ไม่จำเป็นต้องสมมติว่าคุณมีชุดรูตเคอร์เนลแบบเป่าเต็มรูปแบบและรหัสผ่านรูทของคุณถูกบุกรุก อาจจะเป็นเพียงแค่สคริปต์ทุบตี / Perl ใช้ส่อเสียดและมันก็เป็นไปได้ที่จะทำความสะอาดได้โดยไม่ต้อง formating แม้สิ่งที่คณะนักร้องประสานเสียงพิณที่เกี่ยวกับที่นี่ ... serverfault.com/questions/639699/...
เฮย์เดน Thring

คำตอบ:


1015

เป็นการยากที่จะให้คำแนะนำเฉพาะเจาะจงจากสิ่งที่คุณโพสต์ไว้ที่นี่ แต่ฉันมีคำแนะนำทั่วไปตามโพสต์ที่ฉันเขียนเมื่อหลายปีก่อนเมื่อฉันยังคงถูกรบกวนในบล็อก

อย่าตกใจ

สิ่งแรกสิ่งแรกไม่มี "การแก้ไขอย่างรวดเร็ว" นอกเหนือจากการกู้คืนระบบของคุณจากการสำรองข้อมูลที่ใช้ก่อนการบุกรุกและสิ่งนี้มีปัญหาอย่างน้อยสองปัญหา

  1. ระบุได้ยากเมื่อการบุกรุกเกิดขึ้น
  2. มันไม่ได้ช่วยให้คุณปิด "ช่อง" ที่อนุญาตให้พวกเขาทำลายในครั้งที่แล้วหรือจัดการกับผลของการ "ขโมยข้อมูล" ที่อาจเกิดขึ้น

คำถามนี้ยังคงได้รับการถามซ้ำ ๆ โดยผู้ที่ตกเป็นเหยื่อของแฮ็กเกอร์เจาะเข้าไปในเว็บเซิร์ฟเวอร์ของพวกเขา คำตอบนั้นไม่ค่อยมีการเปลี่ยนแปลงมากนัก แต่ผู้คนยังคงถามคำถามต่อไป ฉันไม่แน่ใจว่าทำไม บางทีคนอาจไม่ชอบคำตอบที่พวกเขาเห็นเมื่อค้นหาความช่วยเหลือหรือพวกเขาไม่สามารถหาคนที่พวกเขาไว้ใจให้คำแนะนำ หรือบางทีคนอ่านคำตอบสำหรับคำถามนี้และให้ความสำคัญกับ 5% ของสาเหตุที่คดีของพวกเขาเป็นพิเศษและแตกต่างจากคำตอบที่พวกเขาสามารถค้นหาออนไลน์และพลาด 95% ของคำถามและคำตอบที่กรณีของพวกเขาใกล้เคียงกัน เหมือนกับที่พวกเขาอ่านออนไลน์

นั่นนำฉันไปสู่ข้อมูลที่มีความสำคัญอันดับแรก ฉันซาบซึ้งจริง ๆ ที่คุณเป็นเกล็ดหิมะที่ไม่เหมือนใคร ฉันขอขอบคุณที่เว็บไซต์ของคุณเป็นเหมือนภาพสะท้อนของคุณและธุรกิจของคุณหรืออย่างน้อยที่สุดการทำงานหนักของคุณในนามของนายจ้าง แต่สำหรับบุคคลภายนอกที่กำลังมองหาไม่ว่าจะเป็นคนที่รักษาความปลอดภัยของคอมพิวเตอร์ที่กำลังมองหาปัญหาเพื่อพยายามช่วยเหลือคุณหรือแม้แต่ผู้โจมตีเองก็มีโอกาสมากที่ปัญหาของคุณจะเป็นอย่างน้อย 95% ซึ่งเหมือนกับกรณีอื่น ๆ เคยดู

อย่าทำการโจมตีเป็นการส่วนตัวและอย่าทำตามคำแนะนำที่นี่หรือที่คุณได้รับจากคนอื่นเป็นการส่วนตัว หากคุณกำลังอ่านสิ่งนี้หลังจากเพิ่งตกเป็นเหยื่อของการแฮ็คเว็บไซต์ฉันขอโทษจริงๆและฉันหวังว่าคุณจะพบสิ่งที่เป็นประโยชน์ที่นี่ แต่นี่ไม่ใช่เวลาที่จะให้อัตตาของคุณเข้าสู่สิ่งที่คุณต้องการ ทำ.

คุณเพิ่งพบว่าเซิร์ฟเวอร์ของคุณถูกแฮ็ก ตอนนี้คืออะไร

อย่าตกใจ. อย่ากระทำการใด ๆ ด้วยความรีบร้อนและอย่าพยายามทำสิ่งที่ไม่เคยเกิดขึ้นและไม่ทำอะไรเลย

ครั้งแรก: เข้าใจว่าภัยพิบัติได้เกิดขึ้นแล้ว นี่ไม่ใช่เวลาที่จะปฏิเสธ มันเป็นเวลาที่จะยอมรับสิ่งที่เกิดขึ้นเป็นจริงเกี่ยวกับเรื่องนี้และทำตามขั้นตอนในการจัดการผลกระทบของผลกระทบ

ขั้นตอนเหล่านี้บางขั้นตอนอาจทำให้คุณเจ็บปวดและ (เว้นแต่เว็บไซต์ของคุณจะเก็บรายละเอียดของฉันไว้) ฉันไม่สนใจว่าคุณจะเพิกเฉยต่อขั้นตอนเหล่านี้ทั้งหมดหรือบางส่วนนั่นก็ขึ้นอยู่กับคุณแล้ว แต่การติดตามพวกเขาอย่างเหมาะสมจะทำให้สิ่งต่าง ๆ ดีขึ้นในที่สุด ยาอาจมีรสชาติที่น่ากลัว แต่บางครั้งคุณต้องมองข้ามว่าถ้าคุณต้องการให้การรักษาทำงานจริงๆ

หยุดปัญหาไม่ให้แย่ลงไปกว่าเดิมแล้ว:

  1. สิ่งแรกที่คุณควรทำคือตัดการเชื่อมต่อระบบที่ได้รับผลกระทบจากอินเทอร์เน็ต ไม่ว่าคุณจะมีปัญหาอะไรการออกจากระบบที่เชื่อมต่อกับเว็บจะช่วยให้การโจมตีดำเนินต่อไป ฉันหมายถึงสิ่งนี้ค่อนข้างแท้จริง; พาใครบางคนไปเยี่ยมชมเซิร์ฟเวอร์และถอดสายเคเบิลเครือข่ายหากเป็นสิ่งที่ต้องใช้ แต่ให้ตัดการเชื่อมต่อกับเหยื่อจากผู้ลักลอบขนของมันก่อนที่คุณจะพยายามทำสิ่งอื่น
  2. เปลี่ยนรหัสผ่านทั้งหมดของคุณสำหรับบัญชีทั้งหมดในคอมพิวเตอร์ทุกเครื่องที่อยู่ในเครือข่ายเดียวกันกับระบบที่ถูกบุกรุก ไม่มีจริงๆ. บัญชีทั้งหมด คอมพิวเตอร์ทุกเครื่อง ใช่คุณพูดถูก ในทางกลับกันมันอาจจะไม่ คุณไม่รู้ทางใดทางหนึ่งใช่ไหม
  3. ตรวจสอบระบบอื่นของคุณ ให้ความสนใจเป็นพิเศษกับบริการอินเทอร์เน็ตอื่น ๆ และสำหรับผู้ที่เก็บข้อมูลทางการเงินหรือข้อมูลที่มีความละเอียดอ่อนในเชิงพาณิชย์
  4. หากระบบเก็บข้อมูลส่วนบุคคลของทุกคนให้แจ้งผู้รับผิดชอบในการปกป้องข้อมูลทันที (ถ้าไม่ใช่คุณ) และเปิดเผยข้อมูลทั้งหมด ฉันรู้ว่าอันนี้ยาก ฉันรู้ว่าอันนี้จะเจ็บ ฉันรู้ว่าธุรกิจจำนวนมากต้องการที่จะกวาดล้างปัญหาแบบนี้ภายใต้พรม แต่ธุรกิจจะต้องจัดการกับมัน - และต้องทำเช่นนั้นด้วยการดูที่กฎหมายว่าด้วยความเป็นส่วนตัวใด ๆ และที่เกี่ยวข้องทั้งหมด

อย่างไรก็ตามลูกค้าของคุณอาจจะรำคาญที่จะให้คุณบอกพวกเขาเกี่ยวกับปัญหาพวกเขาจะรำคาญมากถ้าคุณไม่บอกพวกเขาและพวกเขาจะค้นพบตัวเองหลังจากที่มีคนคิดค่าสินค้ามูลค่า 8,000 ดอลลาร์โดยใช้รายละเอียดบัตรเครดิต ขโมยจากเว็บไซต์ของคุณ

จำสิ่งที่ฉันพูดก่อนหน้านี้? สิ่งเลวร้ายได้เกิดขึ้นแล้ว คำถามเดียวในตอนนี้คือคุณรับมือกับมันได้ดีแค่ไหน

ทำความเข้าใจกับปัญหาอย่างเต็มที่:

  1. อย่าทำให้ระบบที่ได้รับผลกระทบกลับสู่สถานะออนไลน์จนกว่าขั้นตอนนี้จะเสร็จสมบูรณ์เว้นแต่คุณต้องการเป็นคนที่โพสต์เป็นจุดเปลี่ยนสำหรับฉันจริง ๆ แล้วตัดสินใจที่จะเขียนบทความนี้ ฉันจะไม่เชื่อมโยงไปยังโพสต์นั้นเพื่อให้ผู้คนได้หัวเราะราคาถูก แต่โศกนาฏกรรมที่แท้จริงคือเมื่อคนไม่เรียนรู้จากความผิดพลาดของพวกเขา
  2. ตรวจสอบระบบ 'โจมตี' เพื่อทำความเข้าใจว่าการโจมตีสำเร็จในการลดความปลอดภัยของคุณอย่างไร ใช้ความพยายามทุกวิถีทางเพื่อค้นหาว่าการโจมตี "มาจากที่ไหน" เพื่อให้คุณเข้าใจว่าคุณมีปัญหาอะไรบ้างและต้องระบุที่อยู่เพื่อให้ระบบของคุณปลอดภัยในอนาคต
  3. ตรวจสอบระบบ 'โจมตี' อีกครั้งคราวนี้เพื่อทำความเข้าใจว่าการโจมตีไปที่ใดเพื่อให้คุณเข้าใจว่าระบบใดถูกโจมตีในการโจมตี ให้แน่ใจว่าคุณติดตามพอยน์เตอร์ใด ๆ ที่แนะนำระบบที่ถูกบุกรุกอาจกลายเป็นจุดเริ่มต้นในการโจมตีระบบของคุณต่อไป
  4. ตรวจสอบให้แน่ใจว่ามีการเข้าใจ "เกตเวย์" ที่ใช้ในการโจมตีใด ๆ และทั้งหมดเพื่อให้คุณสามารถปิดได้อย่างถูกต้อง (เช่นหากระบบของคุณถูกโจมตีจากการโจมตีด้วยการฉีด SQL ดังนั้นคุณไม่จำเป็นต้องปิดบรรทัดที่มีข้อบกพร่องของรหัสที่พวกเขาบุกเข้ามาคุณต้องการตรวจสอบรหัสทั้งหมดของคุณเพื่อดูว่ามีความผิดพลาดประเภทเดียวกันหรือไม่ ถูกสร้างขึ้นที่อื่น)
  5. เข้าใจว่าการโจมตีอาจสำเร็จเนื่องจากข้อบกพร่องมากกว่าหนึ่งข้อ บ่อยครั้งที่การโจมตีประสบความสำเร็จไม่ได้เกิดจากการค้นหาจุดบกพร่องสำคัญในระบบ แต่ด้วยการรวมเข้าด้วยกันหลาย ๆ ประเด็น ตัวอย่างเช่นการใช้การโจมตีด้วยการฉีด SQL เพื่อส่งคำสั่งไปยังเซิร์ฟเวอร์ฐานข้อมูลการค้นหาเว็บไซต์ / แอปพลิเคชันที่คุณถูกโจมตีกำลังทำงานอยู่ในบริบทของผู้ใช้ที่เป็นผู้ดูแลระบบและการใช้สิทธิ์ของบัญชีนั้นเป็นขั้นตอนสำคัญ ระบบ หรือแฮกเกอร์ชอบเรียกมันว่า: "อีกวันในสำนักงานใช้ประโยชน์จากความผิดพลาดที่คนทั่วไปทำ"

ทำไมไม่เพียง "ซ่อมแซม" การหาประโยชน์หรือรูทคิตที่คุณตรวจพบและทำให้ระบบกลับสู่สถานะออนไลน์

ในสถานการณ์เช่นนี้ปัญหาคือคุณไม่สามารถควบคุมระบบนั้นได้อีกต่อไป ไม่ใช่คอมพิวเตอร์ของคุณอีกต่อไป

วิธีเดียวที่จะมั่นใจได้ว่าคุณสามารถควบคุมระบบได้คือการสร้างระบบขึ้นใหม่ ในขณะที่มีค่าจำนวนมากในการค้นหาและแก้ไขการใช้ประโยชน์จากการเจาะเข้าสู่ระบบคุณไม่สามารถแน่ใจได้ว่าระบบได้ทำอะไรลงไปอีกเมื่อผู้บุกรุกได้รับการควบคุม (แน่นอนว่ามันไม่เคยได้ยินมาก่อนสำหรับแฮกเกอร์ที่รับสมัคร ระบบต่างๆในบ็อตเน็ตเพื่อแก้ไขช่องโหว่ที่พวกเขาใช้เพื่อป้องกันคอมพิวเตอร์เครื่องใหม่ของพวกเขาจากแฮกเกอร์อื่น ๆ รวมถึงการติดตั้งรูทคิทของพวกเขา

วางแผนการกู้คืนและนำเว็บไซต์ของคุณกลับมาออนไลน์และติดกับมัน:

ไม่มีใครต้องการที่จะออฟไลน์นานกว่าที่พวกเขาจะต้อง นั่นคือที่ได้รับ หากเว็บไซต์นี้เป็นกลไกสร้างรายได้ความกดดันที่จะนำเว็บไซต์กลับมาออนไลน์อย่างรวดเร็วจะรุนแรง แม้ว่าสิ่งเดียวที่เสี่ยงคือชื่อเสียงของคุณ / บริษัท ของคุณนี้จะยังคงสร้างแรงกดดันมากที่จะนำสิ่งต่าง ๆ กลับมาอย่างรวดเร็ว

อย่างไรก็ตามอย่าพยายามล่อลวงให้กลับไปออนไลน์เร็วเกินไป ให้รีบดำเนินการโดยเร็วที่สุดเพื่อทำความเข้าใจกับสิ่งที่ทำให้เกิดปัญหาและแก้ไขก่อนที่คุณจะกลับมาออนไลน์ไม่เช่นนั้นคุณจะตกเป็นเหยื่อของการบุกรุกอีกครั้งและจำไว้ว่า "การถูกแฮ็กครั้งหนึ่ง เพื่อที่จะถูกแฮ็กอีกครั้งในภายหลังหลังจากนั้นดูเหมือนว่าความประมาท "(ด้วยการขอโทษออสการ์ไวลด์)

  1. ฉันสมมติว่าคุณเข้าใจปัญหาทั้งหมดที่นำไปสู่การบุกรุกที่ประสบความสำเร็จตั้งแต่แรกก่อนที่คุณจะเริ่มหัวข้อนี้ ฉันไม่ต้องการพูดเกินจริงกรณี แต่ถ้าคุณยังไม่ได้ทำก่อนอื่นคุณต้องทำจริงๆ ขอโทษ
  2. ไม่ต้องจ่ายแบล็กเมล์ / เงินป้องกัน นี่คือสัญลักษณ์ของเครื่องหมายที่ง่ายและคุณไม่ต้องการให้วลีนั้นเคยอธิบายคุณ
  3. อย่าล่อลวงให้เซิร์ฟเวอร์เดิมกลับสู่สถานะออนไลน์โดยไม่ต้องสร้างใหม่อย่างสมบูรณ์ มันควรจะเร็วกว่าที่จะสร้างกล่องใหม่หรือ "nuke เซิร์ฟเวอร์จากวงโคจรและทำการติดตั้งใหม่ทั้งหมด" บนฮาร์ดแวร์เก่ากว่าที่จะทำการตรวจสอบทุกมุมของระบบเก่าเพื่อให้แน่ใจว่าสะอาดก่อนนำกลับมาใช้ ออนไลน์อีกครั้ง หากคุณไม่เห็นด้วยกับสิ่งนั้นคุณอาจไม่รู้ว่าจริงๆแล้วมันหมายถึงอะไรเพื่อให้แน่ใจว่าระบบได้รับการทำความสะอาดอย่างสมบูรณ์หรือขั้นตอนการปรับใช้เว็บไซต์ของคุณไม่เป็นระเบียบ คุณน่าจะมีการสำรองและทดสอบการปรับใช้ไซต์ของคุณที่คุณสามารถใช้เพื่อสร้างเว็บไซต์สดและหากคุณไม่ถูกแฮ็คก็ไม่ใช่ปัญหาที่ใหญ่ที่สุดของคุณ
  4. ระวังให้มากเกี่ยวกับการใช้ข้อมูลที่ "สด" บนระบบในเวลาที่แฮ็ก ฉันจะไม่พูดว่า "ไม่เคยทำเลย" เพราะคุณแค่เพิกเฉยต่อฉัน แต่ฉันคิดว่าคุณต้องพิจารณาผลที่ตามมาจากการเก็บรักษาข้อมูลเมื่อคุณรู้ว่าคุณไม่สามารถรับรองความถูกต้องได้ เป็นการดีที่คุณควรกู้คืนจากการสำรองข้อมูลที่ทำก่อนการบุกรุก หากคุณทำไม่ได้หรือไม่ทำอย่างนั้นคุณควรระวังข้อมูลนั้นให้ดีเพราะมันเสีย คุณควรตระหนักถึงผลกระทบที่เกิดขึ้นกับผู้อื่นเป็นพิเศษหากข้อมูลนี้เป็นของลูกค้าหรือผู้เข้าชมเว็บไซต์มากกว่าที่จะส่งถึงคุณโดยตรง
  5. ตรวจสอบระบบอย่างระมัดระวัง คุณควรแก้ไขให้เป็นกระบวนการต่อเนื่องในอนาคต (ด้านล่าง) แต่คุณต้องระวังเป็นพิเศษในช่วงเวลาดังต่อไปนี้ทันทีหลังจากที่ไซต์ของคุณกลับมาออนไลน์ ผู้บุกรุกจะกลับมาอย่างแน่นอนและถ้าคุณเห็นพวกเขาพยายามที่จะบุกเข้ามาอีกครั้งคุณจะสามารถเห็นได้อย่างรวดเร็วถ้าคุณปิดรูทั้งหมดที่พวกเขาใช้ก่อนหน้านี้รวมถึงสิ่งที่พวกเขาทำเอง ข้อมูลที่คุณสามารถส่งต่อไปยังหน่วยงานบังคับใช้กฎหมายในท้องถิ่นของคุณ

การลดความเสี่ยงในอนาคต

สิ่งแรกที่คุณต้องเข้าใจคือความปลอดภัยเป็นกระบวนการที่คุณต้องนำไปใช้ตลอดวงจรชีวิตทั้งหมดของการออกแบบการปรับใช้และการบำรุงรักษาระบบที่เชื่อมต่อกับอินเทอร์เน็ตไม่ใช่สิ่งที่คุณสามารถตบเลเยอร์มากกว่าโค้ดของคุณในภายหลังได้ สี. เพื่อความปลอดภัยที่เหมาะสมบริการและแอปพลิเคชันจะต้องได้รับการออกแบบตั้งแต่เริ่มต้นโดยคำนึงถึงสิ่งนี้เป็นหนึ่งในเป้าหมายหลักของโครงการ ฉันรู้ว่ามันน่าเบื่อและคุณเคยได้ยินมาก่อนและฉัน "ไม่ได้ตระหนักถึงแรงกดดัน" ในการรับบริการเบต้า web2.0 (เบต้า) ของคุณเข้าสู่สถานะเบต้าบนเว็บ แต่ความจริงก็คือ การทำซ้ำเพราะเป็นเรื่องจริงในครั้งแรกที่มีการพูดและยังไม่ได้กลายเป็นเรื่องโกหก

คุณไม่สามารถขจัดความเสี่ยง คุณไม่ควรลองทำเช่นนั้น สิ่งที่คุณควรทำคือเข้าใจความเสี่ยงด้านความปลอดภัยที่มีความสำคัญต่อคุณและเข้าใจวิธีการจัดการและลดผลกระทบของความเสี่ยงและโอกาสที่จะเกิดความเสี่ยง

คุณสามารถทำตามขั้นตอนใดบ้างเพื่อลดโอกาสในการถูกโจมตีที่ประสบความสำเร็จ

ตัวอย่างเช่น:

  1. ข้อบกพร่องที่ทำให้คนอื่นรู้จักเว็บไซต์ของคุณเป็นข้อบกพร่องในรหัสผู้ขายซึ่งมีการแก้ไขหรือไม่ ถ้าเป็นเช่นนั้นคุณจำเป็นต้องคิดทบทวนแนวทางการแก้ไขแอปพลิเคชันบนเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตหรือไม่
  2. ข้อบกพร่องที่ทำให้คนอื่นเจาะเว็บไซต์ของคุณเป็นข้อผิดพลาดที่ไม่รู้จักในรหัสผู้ขายซึ่งไม่มีการแก้ไขหรือไม่ แน่นอนที่สุดฉันไม่สนับสนุนการเปลี่ยนซัพพลายเออร์ทุกครั้งที่สิ่งนี้กัดคุณเพราะพวกเขามีปัญหาและพวกเขาหมดแพลตฟอร์มในหนึ่งปีอย่างมากถ้าคุณใช้วิธีนี้ อย่างไรก็ตามหากระบบให้คุณลงอย่างต่อเนื่องคุณควรจะย้ายไปยังสิ่งที่แข็งแกร่งกว่าหรืออย่างน้อยที่สุดให้สร้างระบบของคุณขึ้นใหม่เพื่อให้ส่วนประกอบที่เปราะบางอยู่ในสำลีและอยู่ห่างจากดวงตาที่เป็นมิตรมากที่สุด
  3. ข้อบกพร่องในรหัสที่พัฒนาโดยคุณ (หรือผู้รับเหมาทำงานให้คุณ) หรือไม่? ถ้าเป็นเช่นนั้นคุณต้องคิดทบทวนวิธีการอนุมัติรหัสสำหรับการปรับใช้ไซต์สดของคุณใหม่หรือไม่? ข้อผิดพลาดอาจถูกจับได้ด้วยระบบทดสอบที่ปรับปรุงใหม่หรือด้วยการเปลี่ยนแปลงในการเข้ารหัส "มาตรฐาน" ของคุณ (ตัวอย่างเช่นในขณะที่เทคโนโลยีไม่ใช่ยาครอบจักรวาลคุณสามารถลดความน่าจะเป็นของการโจมตีฉีด SQL ที่ประสบความสำเร็จโดยใช้เทคนิคการเข้ารหัสที่ดี )
  4. ข้อบกพร่องเนื่องจากปัญหาเกี่ยวกับวิธีการปรับใช้เซิร์ฟเวอร์หรือแอปพลิเคชันซอฟต์แวร์หรือไม่ ถ้าเป็นเช่นนั้นคุณใช้กระบวนการอัตโนมัติเพื่อสร้างและปรับใช้เซิร์ฟเวอร์ที่เป็นไปได้หรือไม่ สิ่งเหล่านี้เป็นตัวช่วยที่ดีในการรักษาสถานะ "พื้นฐาน" ที่สอดคล้องกันบนเซิร์ฟเวอร์ทั้งหมดของคุณลดจำนวนงานที่กำหนดเองที่ต้องทำในแต่ละงานและหวังว่าจะลดโอกาสในการทำผิดพลาดให้น้อยที่สุด ไปด้วยกันกับการปรับใช้รหัส - ถ้าคุณต้องการบางสิ่งที่ "พิเศษ" ที่จะต้องทำเพื่อปรับใช้เวอร์ชันล่าสุดของแอพพลิเคชั่นเว็บของคุณแล้วพยายามอย่างหนักที่จะทำให้มันเป็นแบบอัตโนมัติ
  5. การบุกรุกได้ถูกจับมาก่อนหน้านี้ด้วยการตรวจสอบระบบของคุณที่ดีขึ้นหรือไม่? แน่นอนว่าการตรวจสอบตลอด 24 ชั่วโมงหรือระบบ "เรียก" สำหรับพนักงานของคุณอาจไม่คุ้มค่า แต่มี บริษัท หลายแห่งที่สามารถติดตามบริการที่คุณหันหน้าเข้าหาเว็บของคุณและแจ้งเตือนคุณเมื่อเกิดปัญหา คุณอาจตัดสินใจว่าคุณไม่สามารถจ่ายได้หรือไม่ต้องการมันและก็ไม่เป็นไร ... แค่นำมาพิจารณา
  6. ใช้เครื่องมือเช่น tripwire และ nessus ตามความเหมาะสม แต่อย่าใช้เพียงแค่สุ่มสี่สุ่มห้าเพราะฉันพูดอย่างนั้น ใช้เวลาในการเรียนรู้วิธีการใช้เครื่องมือรักษาความปลอดภัยที่ดีที่เหมาะสมกับสภาพแวดล้อมของคุณรักษาเครื่องมือเหล่านี้ให้ทันสมัยและใช้งานเป็นประจำ
  7. พิจารณาว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยเพื่อ 'ตรวจสอบ' ความปลอดภัยเว็บไซต์ของคุณเป็นประจำ อีกครั้งคุณอาจตัดสินใจว่าคุณไม่สามารถจ่ายได้หรือไม่ต้องการมันและก็ไม่เป็นไร ... แค่นำมาพิจารณา

คุณสามารถทำตามขั้นตอนใดบ้างเพื่อลดผลที่ตามมาจากการโจมตีสำเร็จ

หากคุณตัดสินใจว่า "ความเสี่ยง" ของชั้นล่างของน้ำท่วมบ้านของคุณอยู่ในระดับสูง แต่ไม่สูงพอที่จะรับประกันการเคลื่อนไหวอย่างน้อยที่สุดคุณควรย้ายครอบครัวมรดกที่ไม่สามารถถูกแทนที่ได้ขึ้นไปข้างบน ขวา?

  1. คุณสามารถลดจำนวนบริการที่เปิดเผยโดยตรงกับอินเทอร์เน็ตได้หรือไม่ คุณสามารถรักษาช่องว่างบางอย่างระหว่างบริการภายในของคุณกับบริการอินเทอร์เน็ตของคุณได้หรือไม่? สิ่งนี้ทำให้มั่นใจได้ว่าแม้ว่าระบบภายนอกของคุณจะเสี่ยงต่อการใช้สิ่งนี้เป็นกระดานกระโดดน้ำเพื่อโจมตีระบบภายในของคุณก็ตาม
  2. คุณกำลังจัดเก็บข้อมูลที่คุณไม่ต้องการจัดเก็บหรือไม่? คุณจัดเก็บข้อมูลดังกล่าวเป็น "ออนไลน์" หรือไม่เมื่อถูกเก็บถาวรในที่อื่น มีสองจุดในส่วนนี้ สิ่งที่ชัดเจนคือผู้คนไม่สามารถขโมยข้อมูลจากคุณที่คุณไม่มีและจุดที่สองคือยิ่งคุณเก็บน้อยกว่าคุณต้องบำรุงรักษาและรหัสน้อยดังนั้นจึงมีโอกาสน้อยที่ข้อบกพร่องที่จะแอบเข้าไป การออกแบบรหัสหรือระบบของคุณ
  3. คุณใช้หลักการ "การเข้าถึงน้อยที่สุด" สำหรับแอปพลิเคชันบนเว็บของคุณหรือไม่ หากผู้ใช้ต้องการอ่านจากฐานข้อมูลเท่านั้นตรวจสอบให้แน่ใจว่าบัญชีที่เว็บแอปใช้บริการนี้มีสิทธิ์เข้าถึงแบบอ่านเท่านั้นไม่อนุญาตให้มีการเข้าถึงเพื่อเขียนและไม่ใช่การเข้าถึงระดับระบบ
  4. หากคุณไม่ได้มีประสบการณ์อย่างมากและไม่ได้เป็นศูนย์กลางของธุรกิจของคุณ กล่าวอีกนัยหนึ่งถ้าคุณเรียกใช้เว็บไซต์ขนาดเล็กที่พูดถึงการเขียนรหัสแอปพลิเคชันเดสก์ท็อปและตัดสินใจเริ่มขายแอปพลิเคชันเดสก์ท็อปขนาดเล็กจากเว็บไซต์ให้พิจารณา "จ้าง" ระบบสั่งซื้อบัตรเครดิตของคุณ
  5. หากเป็นไปได้ทำการฝึกซ้อมการกู้คืนจากระบบที่ถูกบุกรุกซึ่งเป็นส่วนหนึ่งของแผนกู้คืนความเสียหาย นี่เป็นเพียงอีกเหตุการณ์หนึ่ง "สถานการณ์ความหายนะ" ที่คุณอาจพบได้เพียงปัญหาหนึ่งที่มีชุดของปัญหาและปัญหาที่แตกต่างจาก 'ห้องเซิร์ฟเวอร์ที่ถูกไฟไหม้' / 'ถูกบุกรุกโดยเซิร์ฟเวอร์ขนาดใหญ่ที่กินสิ่งต่างๆ

... และในที่สุดก็

ฉันอาจไม่ได้ทิ้งเรื่องที่คนอื่นคิดว่าสำคัญ แต่อย่างน้อยขั้นตอนข้างต้นควรช่วยคุณเริ่มเรียงลำดับสิ่งต่าง ๆ หากคุณโชคร้ายพอที่จะตกเป็นเหยื่อของแฮ็กเกอร์

เหนือสิ่งอื่นใด: อย่าตกใจ คิดก่อนทำ ดำเนินการอย่างมั่นคงเมื่อคุณตัดสินใจและแสดงความคิดเห็นด้านล่างหากคุณมีบางอย่างที่จะเพิ่มในรายการขั้นตอนของฉัน


8
+1 สำหรับโพสต์ที่ยอดเยี่ยมที่มีอยู่ในมือเพื่อให้คนเริ่มต้นในทิศทาง ฉันรู้ว่ามันเป็นเรื่องธรรมดาสำหรับผู้ดูแลระบบเซิร์ฟเวอร์สมัครเล่นที่จะเข้าสู่โหมดหวาดกลัวนี้ในครั้งแรกที่พวกเขามี 'แฮ็ค' เกิดขึ้นกับพวกเขา มันเป็นความผิดพลาดครั้งใหญ่ที่เกิดขึ้นในจุดนั้น แต่มันเกิดขึ้น ความหวังก็คือว่าสิ่งนี้จะไม่เกิดขึ้นกับบุคคลเดียวกันสองครั้ง
Andrew Barber

33
+1 "... แต่นี่ไม่ใช่เวลาที่จะให้อัตตาของคุณเข้าสู่สิ่งที่คุณต้องทำ" นี่เป็นสิ่งสำคัญสำหรับผู้ดูแลระบบ Sys ที่จะเข้าใจในบางครั้ง ไม่ว่าคุณจะมีความรู้มากแค่ไหนก็ยังมีผู้ที่มีความรู้หรือฉลาดกว่าคุณเสมอ
Grahamux

11
คำตอบที่ดี ฉันไม่แน่ใจว่าทำไมทุกคนปฏิบัติตามขั้นตอน "การบังคับใช้กฎหมายการโทร" เป็นทางเลือก หากคุณรับผิดชอบต่อข้อมูลของผู้อื่น (และกังวลเกี่ยวกับการดำเนินคดี) สิ่งนี้ควรเป็นหนึ่งในสิ่งแรกในรายการสิ่งที่ต้องทำ
wds

8
เขียนดีมากเพียงหนึ่ง gotcha - "ทำการเปิดเผยอย่างเปิดเผยและตรงไปตรงมากับทุกคนที่อาจได้รับผลกระทบในครั้งเดียว" มีเกียรติ แต่ไม่ถูกต้องเสมอไป ในการตอบสนองต่อการประนีประนอมคุณอาจต้องตัดมุมการกำกับดูแลบางส่วนและโดยทั่วไป บริษัท ของคุณจะลดความหย่อนคล้อยลงอย่างไรก็ตาม ... การเปิดเผยหรือไม่โดยเฉพาะอย่างยิ่งเมื่อมีความหมายของการปกป้องข้อมูลอาจเป็นเรื่องเหนือระดับการจ่ายเงิน อาจมีผลทางกฎหมาย มันอาจเป็นการดีกว่าที่จะแนะนำให้คุณแจ้งผู้รับผิดชอบการปกป้องข้อมูลทันที (ถ้าไม่ใช่คุณ) และการเปิดเผยข้อมูลแบบเต็ม
TheoJones

5
@GilesRoberts เครื่องเสมือนโฮสต์มักจะมีแผงควบคุมที่ให้คุณจัดการการตั้งค่าแขกของพวกเขาและแม้กระทั่งการควบคุมระยะไกลโดยไม่ต้องใช้ RDP หรือ SSH เพื่อเข้าสู่ระบบแขกจริง คุณควรจะสามารถแยกแขกโดยใช้การควบคุมของโฮสต์สำหรับการทำเช่นนั้นใช้เครื่องมือการดูระยะไกลเพื่อตรวจสอบแขกในยามว่าง
Rob Moir

204

ดูเหมือนจะอยู่เหนือหัวคุณเล็กน้อย ไม่เป็นไร. โทรหาเจ้านายของคุณและเริ่มเจรจาเรื่องงบประมาณการตอบสนองความปลอดภัยในกรณีฉุกเฉิน $ 10,000 อาจเป็นจุดเริ่มต้นที่ดี จากนั้นคุณต้องรับใครสักคน (PFY, ผู้ร่วมงาน, ผู้จัดการ) เพื่อเริ่มโทรหา บริษัท ที่เชี่ยวชาญในการตอบสนองเหตุการณ์ความปลอดภัย หลายคนสามารถตอบกลับภายใน 24 ชั่วโมงและบางครั้งก็เร็วขึ้นหากพวกเขามีสำนักงานในเมืองของคุณ

คุณต้องการใครสักคนในการทดสอบลูกค้า ไม่ต้องสงสัยเลยว่ามีคนอยู่แล้ว ใครบางคนจะต้องอยู่ในโทรศัพท์พร้อมกับพวกเขาเพื่ออธิบายสิ่งที่เกิดขึ้นสิ่งที่กำลังดำเนินการเพื่อจัดการกับสถานการณ์และเพื่อตอบคำถามของพวกเขา

จากนั้นคุณจะต้อง ...

  1. อยู่ในความสงบ. หากคุณรับผิดชอบการตอบสนองต่อเหตุการณ์ตอนนี้คุณต้องแสดงให้เห็นถึงความเป็นมืออาชีพและความเป็นผู้นำสูงสุด บันทึกทุกสิ่งที่คุณทำและทำให้ผู้จัดการและทีมผู้บริหารของคุณทราบถึงการกระทำที่สำคัญที่คุณทำ ซึ่งรวมถึงการทำงานกับทีมตอบกลับการปิดใช้งานเซิร์ฟเวอร์สำรองข้อมูลและนำสิ่งต่าง ๆ กลับมาออนไลน์อีกครั้ง พวกเขาไม่ต้องการรายละเอียดที่เต็มไปด้วยเลือด แต่ควรได้ยินจากคุณทุก ๆ 30 นาที

  2. เป็นจริง คุณไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยและมีหลายสิ่งที่คุณไม่รู้ ไม่เป็นไร. เมื่อเข้าสู่เซิร์ฟเวอร์และดูข้อมูลคุณต้องเข้าใจขีด จำกัด ของคุณ เหยียบเบา ๆ ในระหว่างการสอบสวนตรวจสอบให้แน่ใจว่าคุณไม่ได้เหยียบย่ำข้อมูลสำคัญหรือเปลี่ยนแปลงบางสิ่งที่อาจจำเป็นในภายหลัง หากคุณรู้สึกอึดอัดหรือคาดเดาว่าเป็นสถานที่ที่ดีในการหยุดและรับมืออาชีพที่มีประสบการณ์มาครอบครอง

  3. รับแท่ง USB ที่สะอาดและฮาร์ดไดรฟ์สำรอง คุณจะรวบรวมหลักฐานที่นี่ ทำการสำรองข้อมูลทุกสิ่งที่คุณรู้สึกว่าอาจเกี่ยวข้อง การสื่อสารกับ ISP ของคุณการทิ้งเครือข่าย ฯลฯ แม้ว่าการบังคับใช้กฎหมายจะไม่มีส่วนเกี่ยวข้องในกรณีที่มีการฟ้องร้องคุณจะต้องมีหลักฐานนี้เพื่อพิสูจน์ว่า บริษัท ของคุณจัดการกับเหตุการณ์ด้านความปลอดภัยอย่างมืออาชีพและเหมาะสม

  4. สิ่งสำคัญที่สุดคือการหยุดการสูญเสีย ระบุและตัดการเข้าถึงบริการข้อมูลและเครื่องที่ถูกบุกรุก โดยเฉพาะอย่างยิ่งคุณควรดึงสายเคเบิลเครือข่าย หากคุณไม่สามารถทำได้ให้ดึงพลังงาน

  5. ถัดไปคุณจะต้องลบผู้โจมตีออกและปิดรู สมมุติว่าผู้โจมตีไม่สามารถเข้าถึงแบบโต้ตอบได้อีกต่อไปเพราะคุณดึงเครือข่าย ตอนนี้คุณต้องระบุเอกสาร (พร้อมข้อมูลสำรองภาพหน้าจอและบันทึกการสังเกตส่วนตัวของคุณเองหรือโดยเฉพาะอย่างยิ่งแม้กระทั่งการลบไดรฟ์ออกจากเซิร์ฟเวอร์ที่ได้รับผลกระทบและทำสำเนาอิมเมจดิสก์แบบเต็ม) จากนั้นลบโค้ด . ส่วนต่อไปนี้จะถูกดูดหากคุณไม่มีข้อมูลสำรอง คุณสามารถลองแก้ให้ผู้โจมตียุ่งเหยิงจากระบบด้วยมือ แต่คุณจะไม่แน่ใจว่าคุณมีทุกอย่างที่เขาทิ้งไว้ รูทคิทนั้นเป็นหินและไม่สามารถตรวจพบได้ทั้งหมด การตอบสนองที่ดีที่สุดคือการระบุช่องโหว่ที่เขาใช้ในการทำสำเนารูปภาพของดิสก์ที่ได้รับผลกระทบจากนั้นเช็ดระบบที่ได้รับผลกระทบและโหลดซ้ำจากการสำรองข้อมูลที่ดีที่รู้จัก ดอน' อย่าวางใจในข้อมูลสำรองของคุณ ตรวจสอบมัน! ซ่อมแซมหรือปิดช่องโหว่ก่อนที่โฮสต์ใหม่จะเข้าสู่เครือข่ายอีกครั้งแล้วจึงนำมาออนไลน์

  6. จัดระเบียบข้อมูลทั้งหมดของคุณลงในรายงาน ณ จุดนี้ช่องโหว่ถูกปิดและคุณมีเวลาพอที่จะหายใจ อย่าถูกล่อลวงให้ข้ามขั้นตอนนี้ไป มันสำคัญยิ่งกว่ากระบวนการที่เหลือ ในรายงานคุณต้องระบุสิ่งที่ผิดพลาดวิธีที่ทีมของคุณตอบสนองและขั้นตอนที่คุณทำเพื่อป้องกันเหตุการณ์นี้ไม่ให้เกิดขึ้นอีกครั้ง มีรายละเอียดเท่าที่คุณสามารถ; สิ่งนี้ไม่ได้มีไว้สำหรับคุณเท่านั้น แต่เพื่อการจัดการของคุณและเพื่อเป็นการป้องกันในคดีความที่อาจเกิดขึ้น

นั่นเป็นรีวิวที่สูงถึงสิ่งที่ต้องทำ งานส่วนใหญ่เป็นเพียงเอกสารประกอบและการจัดการข้อมูลสำรอง อย่าตกใจคุณสามารถทำสิ่งนั้นได้ ฉันขอแนะนำให้คุณขอความช่วยเหลือด้านความปลอดภัยอย่างมืออาชีพ แม้ว่าคุณจะสามารถจัดการกับสิ่งที่เกิดขึ้นความช่วยเหลือของพวกเขาจะมีค่าและพวกเขามักจะมาพร้อมกับอุปกรณ์เพื่อให้กระบวนการง่ายขึ้นและเร็วขึ้น หากเจ้านายของคุณมีปัญหาด้านราคาให้เตือนเขาว่ามันมีขนาดเล็กมากเมื่อเทียบกับการดำเนินคดี

คุณมีความปลอบใจของฉันสำหรับสถานการณ์ของคุณ โชคดี.


19
+1 คำตอบที่ดี ดูเหมือนว่า OP จะไม่มี "การตอบสนองฉุกเฉิน" ที่กำหนดไว้ล่วงหน้าและโพสต์ของคุณรวมถึงสิ่งที่ดีอื่น ๆ ควรนำพวกเขาไปสู่การตั้งค่านั้น
Rob Moir

109

CERT มีขั้นตอนเอกสารสำหรับการกู้คืนจาก UNIX หรือ NT System Compromiseที่ดี รายละเอียดทางเทคนิคเฉพาะของเอกสารนี้ค่อนข้างล้าสมัย แต่ยังมีคำแนะนำทั่วไปมากมายที่ยังนำมาใช้โดยตรง

สรุปอย่างย่อของขั้นตอนพื้นฐานคือสิ่งนี้

  • ปรึกษานโยบายความปลอดภัยหรือการจัดการของคุณ
  • รับการควบคุม (ทำให้คอมพิวเตอร์ออฟไลน์)
  • วิเคราะห์การบุกรุกรับบันทึกร่างสิ่งที่ผิดพลาด
  • ซ่อมแซมสิ่งต่างๆ
    • ติดตั้งระบบปฏิบัติการเวอร์ชั่นใหม่ !!! หากระบบถูกโจมตีคุณไม่สามารถเชื่อถือได้
  • อัปเดตระบบเพื่อให้สิ่งนี้ไม่สามารถเกิดขึ้นได้อีก
  • ดำเนินงานต่อ
  • อัปเดตนโยบายของคุณสำหรับอนาคตและเอกสาร

ฉันอยากจะชี้ให้คุณในส่วน E.1 โดยเฉพาะ

E.1 โปรดจำไว้ว่าหากเครื่องถูกบุกรุกสิ่งใดก็ตามในระบบนั้นอาจได้รับการแก้ไขรวมถึงเคอร์เนลไบนารีไฟล์ดาต้าไฟล์กระบวนการทำงานและหน่วยความจำ โดยทั่วไปวิธีเดียวที่จะเชื่อได้ว่าเครื่องนั้นปลอดจากแบ็คดอร์และการดัดแปลงผู้บุกรุกคือการติดตั้งระบบปฏิบัติการใหม่

หากคุณไม่มีระบบอยู่แล้วเหมือน tripwire ไม่มีทางเป็นไปได้ที่คุณจะมั่นใจได้ 100% ว่าคุณได้ทำความสะอาดระบบ


26
ทริปไวไวก็สามารถหลอกได้ด้วยโมดูลเคอร์เนลและเช่นนั้น ติดตั้ง
reconbot

คำถามที่เกี่ยวข้องกับวิธีการตอบสนองในภาวะวิกฤตอาจมีประโยชน์ที่นี่
Zoredache

67
  1. ระบุปัญหา อ่านบันทึก
  2. บรรจุ คุณได้ตัดการเชื่อมต่อกับเซิร์ฟเวอร์แล้วเสร็จแล้ว
  3. กำจัด ติดตั้งระบบที่ได้รับผลกระทบเป็นไปได้มากที่สุด อย่าลบฮาร์ดไดรฟ์ของแฮ็กที่ถูกแฮกใช้ให้ใช้อันใหม่ ปลอดภัยกว่าและคุณอาจต้องใช้รุ่นเก่าเพื่อกู้คืนแฮ็กที่น่าเกลียดซึ่งไม่ได้สำรองไว้และเพื่อทำการพิสูจน์ทางนิติเวชเพื่อค้นหาว่าเกิดอะไรขึ้น
  4. กู้ ติดตั้งสิ่งที่จำเป็นและกู้คืนข้อมูลสำรองเพื่อให้ลูกค้าของคุณออนไลน์
  5. Follow-up คิดออกว่าปัญหาคืออะไรและป้องกันไม่ให้เกิดขึ้นอีกครั้ง

52

คำตอบ "เม็ดยาขม" ของโรเบิร์ตนั้นเป็นคำตอบที่ตรงจุด แต่เป็นคำทั่วไปที่สมบูรณ์ ดูเหมือนว่าคุณมีปัญหาด้านการจัดการและต้องการระบบดูแลระบบเต็มเวลาหากคุณมีเซิร์ฟเวอร์หนึ่งตัวและไคลเอนต์ 600 ราย แต่นั่นไม่ได้ช่วยอะไรคุณในตอนนี้

ฉันเป็น บริษัท โฮสติ้งที่ให้การจับมือกันเล็กน้อยในสถานการณ์เช่นนี้ดังนั้นฉันจึงจัดการกับเครื่องจักรที่ถูกบุกรุกจำนวนมาก แต่ก็มีวิธีปฏิบัติที่ดีที่สุดสำหรับเราเอง เรามักจะบอกให้ลูกค้าที่ถูกบุกรุกสร้างใหม่เว้นแต่ว่าพวกเขาจะไม่แน่ใจในลักษณะของการประนีประนอม ไม่มีเส้นทางรับผิดชอบอื่น ๆ ในระยะยาว

อย่างไรก็ตามคุณเกือบตกเป็นเหยื่อของสคริปต์ตัวยงซึ่งต้องการแผ่นยิงสำหรับการโจมตี DoS หรือ bouncers IRC หรือสิ่งที่ไม่เกี่ยวข้องกับเว็บไซต์และข้อมูลของลูกค้าอย่างสมบูรณ์ ดังนั้นเป็นการวัดชั่วคราวในขณะที่คุณสร้างใหม่คุณอาจพิจารณาการนำไฟร์วอลล์ขาออกจำนวนมากมาใส่ในกล่องของคุณ หากคุณสามารถบล็อกการเชื่อมต่อ UDP และ TCP ขาออกทั้งหมดที่ไม่จำเป็นอย่างยิ่งต่อการทำงานของเว็บไซต์ของคุณคุณสามารถทำให้กล่องที่ใช้งานไม่ได้รับผลกระทบกับใครก็ตามที่ยืมมาจากคุณและลดผลกระทบต่อเครือข่ายผู้ให้บริการของคุณ

กระบวนการนี้อาจใช้เวลาสองสามชั่วโมงถ้าคุณไม่เคยทำมาก่อนและไม่เคยพิจารณาไฟร์วอลล์ แต่อาจช่วยให้คุณคืนค่าบริการลูกค้าของคุณได้โดยมีความเสี่ยงที่จะทำให้ผู้โจมตีเข้าถึงข้อมูลลูกค้าของคุณได้ เนื่องจากคุณบอกว่าคุณมีลูกค้าหลายร้อยรายในเครื่องเดียวฉันเดาว่าคุณกำลังโฮสต์เว็บไซต์โบรชัวร์ขนาดเล็กสำหรับธุรกิจขนาดเล็กไม่ใช่ 600 ระบบอีคอมเมิร์ซที่มีหมายเลขบัตรเครดิต หากเป็นกรณีนี้อาจเป็นความเสี่ยงที่ยอมรับได้สำหรับคุณและทำให้ระบบของคุณกลับมาออนไลน์เร็วกว่าการตรวจสอบ 600 เว็บไซต์เพื่อหาจุดบกพร่องด้านความปลอดภัยก่อนที่คุณจะนำสิ่งใดกลับมา แต่คุณจะรู้ว่ามีข้อมูลอะไรบ้างและคุณรู้สึกสบายแค่ไหนที่จะตัดสินใจ

นี่ไม่ใช่วิธีปฏิบัติที่ดีที่สุด แต่ถ้านั่นไม่ใช่สิ่งที่เกิดขึ้นกับนายจ้างของคุณปุบปับนิ้วของคุณและถามหมื่นปอนด์สำหรับทีม SWAT สำหรับสิ่งที่พวกเขาอาจรู้สึกว่าเป็นความผิดของคุณ (ไม่ยุติธรรมเลย! ) ไม่ได้ดูเหมือนตัวเลือกที่ใช้งานได้จริง

ความช่วยเหลือของ ISP ของคุณที่นี่เป็นสิ่งสำคัญมากผู้ให้บริการอินเทอร์เน็ตบางรายมีเซิร์ฟเวอร์คอนโซลและสภาพแวดล้อมการบูตเครือข่าย (อย่างน้อยคุณก็รู้ว่าควรมองหาสิ่งอำนวยความสะดวกประเภทใด) ซึ่งจะช่วยให้คุณจัดการเซิร์ฟเวอร์ในขณะที่ถูกตัดการเชื่อมต่อจากเครือข่าย หากเป็นตัวเลือกทั้งหมดให้ถามและใช้งาน

แต่ในระยะยาวคุณควรวางแผนในการสร้างระบบใหม่ตามการโพสต์ของ Robert และการตรวจสอบของแต่ละไซต์และการตั้งค่า หากคุณไม่สามารถเพิ่มระบบดูแลระบบให้กับทีมของคุณให้มองหาดีลจัดการโฮสติ้งที่คุณจ่าย ISP ของคุณเพื่อรับความช่วยเหลือดูแลระบบและการตอบกลับตลอด 24 ชั่วโมงสำหรับสิ่งนี้ โชคดี :)


41

คุณต้องติดตั้งใหม่ บันทึกสิ่งที่คุณต้องการจริงๆ แต่โปรดจำไว้ว่าไฟล์ที่รันได้ทั้งหมดของคุณอาจติดไวรัสและแก้ไข ฉันเขียนสิ่งต่อไปนี้ใน python: http://frw.se/monty.pyซึ่งสร้าง MD5-sumbs ของไฟล์ทั้งหมดของคุณในไดเรกทอรีที่กำหนดและในครั้งต่อไปที่คุณเรียกใช้มันจะตรวจสอบว่ามีอะไรเปลี่ยนแปลงหรือไม่ ไฟล์มีการเปลี่ยนแปลงและสิ่งที่เปลี่ยนแปลงในไฟล์

นี่อาจเป็นประโยชน์สำหรับคุณเพื่อดูว่ามีการเปลี่ยนแปลงไฟล์แปลก ๆ เป็นประจำหรือไม่

แต่สิ่งเดียวที่คุณควรทำตอนนี้คือการลบคอมพิวเตอร์ของคุณจากอินเทอร์เน็ต


13
ดังนั้น ... คุณได้ติดตั้ง tripwire แล้ว
womble

13
ใช่มีบางอย่างผิดปกติกับที่?
Filip Ekberg

1
+1 สำหรับถอดปลั๊กวิเคราะห์ (รับคนที่จะทำนิติจริงในนั้น) และเช็ด
Oskar Duveborn

4
ด้วยตัวเลือกระหว่างสคริปต์ Python ที่ไม่ระบุชื่อกับโซลูชันมาตรฐานที่ได้รับการสนับสนุนและเข้าใจดีคุณหวังว่าพวกเขาจะเลือกอดีตหรือไม่
tripleee

37

หมายเหตุ:นี่ไม่ใช่คำแนะนำ โปรโตคอลการตอบสนองเหตุการณ์เฉพาะของฉันอาจจะไม่ใช้ไม่ได้รับการแก้ไขกับกรณีของ unwins

ในศูนย์การศึกษาของเรามีนักวิจัยประมาณ 300 คนที่ทำการคำนวณเท่านั้น คุณมีลูกค้า 600 รายที่มีเว็บไซต์ดังนั้นโปรโตคอลของคุณอาจแตกต่างกัน

ขั้นตอนแรกในเมื่อเซิร์ฟเวอร์ของเราได้รับโปรโตคอลที่ถูกบุกรุกคือ:

  1. ระบุว่าผู้โจมตีสามารถได้รับรูท (สิทธิ์ยกระดับ)
  2. ถอดปลั๊กเซิร์ฟเวอร์ที่ได้รับผลกระทบ เครือข่ายหรือพลังงาน โปรดดูการอภิปรายที่แยกต่างหาก
  3. ตรวจสอบระบบอื่นทั้งหมด
  4. บู๊ตเซิร์ฟเวอร์ที่ได้รับผลกระทบจากไลฟ์ซีดี
  5. (ไม่บังคับ)จับภาพไดรฟ์ระบบทั้งหมดด้วยdd
  6. เริ่มทำนิติเวชชันสูตรศพ ดูล็อกบันทึกเวลาของการโจมตีค้นหาไฟล์ที่ถูกแก้ไขในเวลานั้น ลองตอบคำถามอย่างไร คำถาม.

    • ในแบบคู่ขนานวางแผนและดำเนินการกู้คืนของคุณ
    • รีเซ็ตรหัสผ่าน root และรหัสผ่านผู้ใช้ทั้งหมดก่อนที่จะให้บริการต่อ

แม้ว่า "backdoors และ rootkits ทั้งหมดจะถูกล้างข้อมูล" อย่าเชื่อถือระบบนั้น - ติดตั้งใหม่ตั้งแต่เริ่มต้น


23
-1 ถอดปลั๊กไฟออกจากเซิร์ฟเวอร์หรือไม่? คุณสูญเสียข้อมูลนิติวิทยาศาสตร์ไปครึ่งหนึ่งแล้ว!
Josh Brower

@ Josh ฉันได้ปรับคำตอบแล้ว - ตอนนี้เป็นกลางกับคำถาม What to Unplug
Aleksandr Levchuk

5
แรมนิติวิทยาศาสตร์ (เช่น / dev / shm) จะมีประโยชน์ ฉันชอบถอดสายไฟออก (แต่ลองเข้าสู่ระบบและrsync/ proc ก่อน) นอกจากนี้เรายังอาจแนะนำสแนปชอตของ VM บ่อยครั้งดังนั้น RAM นิติเวชจะเป็นไปได้ เหตุผลของการไปหาสายไฟคือ (1) เมื่อคุณทำการตรวจทางนิติเวชในระบบที่ถูกแฮ็กคุณกำลัง "ก้าวข้ามฉากอาชญากรรม"; (2) ชุดคิทรูทนั้นยังคงทำงานอยู่ - ไม่ยากนักสำหรับผู้ประสงค์ร้ายที่จะดำเนินการบางอย่าง (เช่นการล้างข้อมูลออกจากระบบ) ในเหตุการณ์Network Link Down ไคล์แรนคิ่นในบทแนะนำ Intro Forensics talk ( goo.gl/g21Ok ) แนะนำให้ดึงสายไฟ
Aleksandr Levchuk

4
ไม่มีขนาดใดที่เหมาะกับโปรโตคอล IR ทั้งหมด - องค์กรบางแห่งอาจต้องการให้ระบบที่ถูกบุกรุกออนไลน์อยู่ได้นานขึ้นไม่ว่าด้วยเหตุผลใดก็ตาม (RAM & temp log forensics โต้ตอบกับผู้บุกรุก ฯลฯ ) จุดของฉันคือมันจะเป็นการดีกว่าที่จะแนะนำโปรโตคอล IR ทั่วไป (เช่น Jakob Borgs ด้านบน) มากกว่าหนึ่งที่เริ่มต้นด้วย "ดึงปลั๊กไฟของเซิร์ฟเวอร์ที่ถูกบุกรุก "
Josh Brower

31

จากประสบการณ์ที่ จำกัด ของฉันการยอมให้ระบบบน Linux มีแนวโน้มที่จะ "ครอบคลุม" มากกว่าที่พวกเขาใช้บน Windows ชุดคิทรูทนั้นมีแนวโน้มที่จะรวมการแทนที่ไบนารีของระบบด้วยรหัสที่กำหนดเองเพื่อซ่อนมัลแวร์และอุปสรรคในการแพตช์เคอร์เนลที่มีความร้อนจะลดลงเล็กน้อย นอกจากนี้ยังเป็นระบบปฏิบัติการที่บ้านสำหรับผู้เขียนมัลแวร์จำนวนมาก คำแนะนำทั่วไปอยู่เสมอเพื่อสร้างเซิร์ฟเวอร์ที่ได้รับผลกระทบจากศูนย์และเป็นแนวทางทั่วไปสำหรับเหตุผล

รูปแบบที่ลูกสุนัข

แต่ถ้าคุณไม่สามารถสร้างใหม่ได้ (หรือ - พลัง - นั้น - จะไม่ยอมให้คุณสร้างมันขึ้นมาใหม่เพื่อยืนยันความต้องการพลังที่คุณต้องการ) คุณจะมองหาอะไร?

เนื่องจากดูเหมือนว่าจะมีการค้นพบการบุกรุกมาระยะหนึ่งแล้วและการกู้คืนระบบได้เกิดขึ้นจึงเป็นไปได้อย่างมากที่ร่องรอยของวิธีการที่พวกเขาเข้ามาถูกย่ำยีในการแตกตื่นเพื่อคืนค่าบริการ โชคร้าย

การรับส่งข้อมูลเครือข่ายที่ผิดปกติน่าจะเป็นวิธีที่ง่ายที่สุดในการค้นหาเนื่องจากไม่เกี่ยวข้องกับการทำงานอะไรเลยในกล่องและสามารถทำได้ในขณะที่เซิร์ฟเวอร์กำลังทำงานอยู่ แน่นอนว่าอุปกรณ์เครือข่ายของคุณอนุญาตให้ทำการขยายพอร์ตได้ สิ่งที่คุณพบอาจเป็นหรือไม่ได้รับการวินิจฉัย แต่อย่างน้อยก็เป็นข้อมูล การได้รับทราฟฟิกที่ผิดปกติจะเป็นหลักฐานที่ชัดเจนว่าระบบยังคงถูกบุกรุกและต้องการความแบนราบ มันอาจจะดีพอที่จะโน้มน้าวใจ TPTB ว่าการฟอร์แมตจริง ๆ แล้วคุ้มค่ากับการหยุดทำงาน

หากไม่สามารถทำเช่นนั้นให้คัดลอกพาร์ทิชันระบบของคุณและคัดลอกไฟล์ไปยังกล่องอื่น เริ่มเปรียบเทียบเนื้อหากับเซิร์ฟเวอร์ที่ระดับแพตช์เดียวกันกับระดับที่ถูกบุกรุก ควรช่วยให้คุณระบุสิ่งที่ดูแตกต่าง (md5sums อีกครั้ง) และอาจชี้ไปยังพื้นที่ที่ถูกมองข้ามบนเซิร์ฟเวอร์ที่ถูกบุกรุก นี่คือการกลั่นกรองจำนวนมากผ่านไดเรกทอรีและไบนารีและจะค่อนข้างใช้แรงงานมาก อาจต้องใช้แรงงานคนมากไปกว่าการฟอร์แมตใหม่ / การสร้างใหม่และอาจเป็นอีกสิ่งหนึ่งที่จะทำให้ TPTB เกิดการทำฟอร์แมตใหม่ตามที่ต้องการ


2
'จัดรูปแบบลูกสุนัขนั่น' - +1 แนะนำปราชญ์ ดูเพิ่มเติม: "Nuke จากวงโคจรมันเป็นวิธีเดียวที่จะทำให้แน่ใจ"
Avery Payne

31

ฉันจะบอกว่า @Robert Moir, @Aleksandr Levchuk, @blueben และ @Matthew Bloch ล้วนเป็นจุดสนใจในการตอบกลับของพวกเขา

อย่างไรก็ตามคำตอบของผู้โพสต์ที่แตกต่างกันมีอยู่บ้างในระดับสูงและพูดคุยเกี่ยวกับขั้นตอนที่คุณควรมี (โดยทั่วไป)

ฉันต้องการแยกสิ่งนี้ออกเป็นหลายส่วน 1) Triage, AKA วิธีจัดการกับลูกค้าและผลทางกฎหมายและระบุว่าจะไปจากที่นั่นได้อย่างไร (ระบุไว้เป็นอย่างดีโดย Robert และ @blueben 2) การบรรเทาผลกระทบ 3 ) การตอบสนองต่อเหตุการณ์ 4) นิติเวชชันสูตรพลิกศพ 5) รายการแก้ไขและการเปลี่ยนแปลงสถาปัตยกรรม

(แทรกคำสั่งการตอบรับที่ได้รับการรับรองของ SANS GSC ที่นี่) จากประสบการณ์ที่ผ่านมาฉันจะกล่าวต่อไปนี้:

ไม่ว่าคุณจะจัดการกับการตอบสนองของลูกค้าการแจ้งเตือนกฎหมายและแผนในอนาคตอย่างไรฉันต้องการเน้นประเด็นหลักที่ใกล้เคียง คำถามดั้งเดิมของ OP เกี่ยวข้องโดยตรงกับ # 2 และ # 3 โดยตรงโดยทั่วไปจะหยุดการโจมตีอย่างไรให้ลูกค้ากลับมาออนไลน์ ASAP ในสถานะดั้งเดิมซึ่งได้รับการตอบรับอย่างดี

การตอบสนองที่เหลือนั้นยอดเยี่ยมและครอบคลุมแนวทางปฏิบัติที่ดีที่สุดที่ระบุไว้มากมายและวิธีการที่จะป้องกันไม่ให้มันเกิดขึ้นในอนาคตและตอบสนองต่อมันได้ดียิ่งขึ้น

มันขึ้นอยู่กับงบประมาณของ OP และภาคอุตสาหกรรมที่พวกเขาอยู่สิ่งที่พวกเขาต้องการคืออะไร

บางทีพวกเขาจำเป็นต้องจ้าง SA ประจำพื้นที่โดยเฉพาะ บางทีพวกเขาต้องการคนรักษาความปลอดภัย หรือบางทีพวกเขาต้องการโซลูชันที่มีการจัดการอย่างสมบูรณ์เช่น Firehost หรือ Rackspace Managed, Softlayer, ServePath เป็นต้น

มันขึ้นอยู่กับว่าอะไรเหมาะกับธุรกิจของพวกเขา บางทีความสามารถหลักของพวกเขาไม่ได้อยู่ในการจัดการเซิร์ฟเวอร์และมันก็ไม่สมเหตุสมผลสำหรับพวกเขาที่จะพยายามพัฒนามัน หรือบางทีพวกเขาอาจเป็นองค์กรด้านเทคนิคที่สวยงามอยู่แล้วและสามารถตัดสินใจได้อย่างถูกต้องและนำทีมที่ทุ่มเทมาทำงานเต็มเวลา


1
ใช่มันขึ้นอยู่กับที่เรารู้ การพูดแบบนั้นไม่ได้ช่วยอะไรมากนัก
DOK

27

หลังจากทำงานและดูเซิร์ฟเวอร์แล้วเราก็สามารถจัดการปัญหาได้ โชคดีที่ไฟล์ที่ละเมิดนั้นถูกอัพโหลดไปยังระบบในวันอาทิตย์เมื่อสำนักงานถูกปิดและไม่ควรสร้างไฟล์ใด ๆ นอกเหนือจากไฟล์บันทึกและแคช ด้วยคำสั่ง shell อย่างง่ายเพื่อค้นหาไฟล์ที่ถูกสร้างขึ้นในวันนั้นเราพบไฟล์เหล่านั้น

ไฟล์ที่ละเมิดทั้งหมดดูเหมือนจะอยู่ใน / images / โฟลเดอร์ในบางไซต์ zencart รุ่นเก่าของเรา ดูเหมือนว่ามีช่องโหว่ด้านความปลอดภัยที่อนุญาต (ใช้ curl) เพื่อให้คนโง่อัปโหลดที่ไม่ใช่รูปภาพไปยังส่วนการอัปโหลดรูปภาพในส่วนผู้ดูแลระบบ เราลบไฟล์. php ที่ละเมิดและแก้ไขสคริปต์การอัปโหลดเพื่อไม่อนุญาตการอัปโหลดไฟล์ใด ๆ ที่ไม่ใช่ภาพ

เมื่อมองย้อนกลับไปมันค่อนข้างง่ายและฉันก็ถามคำถามนี้กับ iPhone ของฉันถึงวิธีการทำงาน ขอบคุณสำหรับความช่วยเหลือทุกคน

สำหรับการอ้างอิงของทุกคนที่เข้าชมโพสต์นี้ในอนาคต ฉันจะไม่แนะนำให้ดึงปลั๊กไฟ


แกรนท์ฉันดีใจที่มันทำงานได้อย่างราบรื่นมากสำหรับคุณ มันเป็นเรื่องเล็กน้อย - ร้ายแรงน้อยกว่าพวกเราหลายคนคิดว่า การสนทนาครั้งนี้สอนบทเรียนเกี่ยวกับการสื่อสารให้คำแนะนำและอาหารที่ดีสำหรับการตอบสนองที่ไม่เหมาะสม
Aleksandr Levchuk

3
ขอบคุณที่กลับมาและแจ้งให้เราทราบว่าคุณได้รับอย่างไร - อย่างที่คุณเห็นคำถามของคุณสร้างการสนทนาค่อนข้างมาก ฉันดีใจที่คุณไม่ได้ดูแย่ไปกว่านี้และโซลูชันของคุณก็ค่อนข้างง่ายในท้ายที่สุด
Rob Moir

5
นี่ควรเป็นความคิดเห็น (หรือรวมเป็นข้อความในคำถามของคุณ) ไม่ใช่คำตอบสำหรับคำถามของคุณ
Techboy

5
@Techboy: ดูเหมือนว่าเขายังไม่ได้เชื่อมโยงบัญชี SO และ SF ของเขาดังนั้นเขาจึงไม่สามารถแก้ไขคำถามของเขาได้ @Grant: คุณสามารถเชื่อมโยงบัญชีของคุณผ่านแผง "บัญชี" ในหน้าผู้ใช้ของคุณ
ฮิปโป

1
หากไม่มีการกำหนดค่าพื้นฐานคุณจะรู้ได้อย่างไรว่าไม่ใช้งานรูทคิท
Unix Janitor

18

ฉันมีเพียงเล็กน้อยที่จะตอบคำถามด้านเทคนิคอย่างกว้างขวาง แต่โปรดรับทราบสิ่งเหล่านี้ด้วย:

การกระทำที่ไม่ใช่ด้านเทคนิค:

  • รายงานเหตุการณ์ภายใน
    หากคุณไม่มีแผนรับมือเหตุการณ์ที่อาจปรากฏเป็นเทคนิค CYA แต่แผนกไอทีไม่ได้เป็นเพียงสถานที่ที่ดีที่สุดในการพิจารณาผลกระทบทางธุรกิจของเซิร์ฟเวอร์ที่ถูกบุกรุก
    ข้อกำหนดทางธุรกิจอาจทำให้คุณมีความกังวลด้านเทคนิค อย่าพูดว่า "ฉันบอกคุณแล้ว" และลำดับความสำคัญของข้อกังวลทางธุรกิจคือเหตุผลที่คุณมีเซิร์ฟเวอร์ที่ถูกบุกรุกในตอนแรก (" ปล่อยไว้สำหรับรายงานหลังการกระทำ ")

  • การปกปิดเหตุการณ์ด้านความปลอดภัยไม่ได้เป็นตัวเลือก

  • การรายงานไปยังหน่วยงานท้องถิ่น
    ServerFault ไม่ใช่ที่สำหรับคำแนะนำทางกฎหมาย แต่นี่เป็นสิ่งที่ควรรวมอยู่ในแผนเผชิญเหตุ
    ในบางท้องที่และ / หรืออุตสาหกรรมที่มีการควบคุมมันเป็นข้อบังคับในการรายงานเหตุการณ์ความปลอดภัย (บางอย่าง) ต่อการบังคับใช้กฎหมายในท้องถิ่นหน่วยงานกำกับดูแลหรือแจ้งลูกค้า / ผู้ใช้ที่มีผลกระทบ
    ไม่ว่าจะเป็นการตัดสินใจรายงานหรือรายงานจริงในแผนกไอที คาดหวังการมีส่วนร่วมจากฝ่ายบริหารและฝ่ายกฎหมายและการสื่อสารองค์กร (การตลาด)
    คุณไม่ควรคาดหวังมากเกินไปอินเทอร์เน็ตเป็นสถานที่ขนาดใหญ่ที่พรมแดนมีความหมายน้อย แต่แผนกอาชญากรรมไซเบอร์ที่มีอยู่ในหน่วยงานตำรวจหลายแห่งจะแก้ปัญหาอาชญากรรมดิจิทัลและอาจนำความผิดมาสู่ความยุติธรรม


16

ฉันคิดว่าทุกสิ่งที่เดือดลงไปนี้:

หากคุณให้ความสำคัญกับงานของคุณคุณควรวางแผนและแก้ไขเป็นประจำ

การล้มเหลวในการวางแผนกำลังวางแผนที่จะล้มเหลวและไม่มีความจริงใด ๆ นอกจากความปลอดภัยของระบบ เมื่อ<redacted>กระทบแฟนคุณจะพร้อมรับมือกับมันได้ดีกว่า

มีอีก (ค่อนข้างซ้ำซาก) บอกว่าใช้ที่นี่: การป้องกันดีกว่าการรักษา

มีคำแนะนำจำนวนมากที่นี่เพื่อให้ผู้เชี่ยวชาญตรวจสอบระบบที่คุณมีอยู่ ฉันคิดว่ามันกำลังถามคำถามผิดเวลา คำถามนี้ควรได้รับการถามเมื่อมีการวางระบบและคำตอบที่ได้รับการบันทึกไว้ นอกจากนี้คำถามไม่ควร "เราจะหยุดคนไม่ให้แตกในได้อย่างไร" ควรเป็น "ทำไมผู้คนถึงสามารถบุกเข้ามาได้?" การตรวจสอบช่องโหว่จำนวนมากในเครือข่ายของคุณจะทำงานได้จนกว่าจะพบหลุมใหม่และใช้ประโยชน์ ในทางกลับกันเครือข่ายที่ได้รับการออกแบบมาจากพื้นดินเพื่อตอบสนองในบางวิธีกับระบบบางอย่างในท่าเต้นที่ออกแบบมาอย่างระมัดระวังจะไม่ได้รับประโยชน์จากการตรวจสอบเลยและเงินจะเสียเปล่า

ก่อนที่จะวางระบบบนอินเทอร์เน็ตถามตัวเอง - นี่ต้องเป็นอินเทอร์เน็ต 100% หรือไม่? ถ้าไม่ทำไม่ได้ ลองวางไว้หลังไฟร์วอลล์ซึ่งคุณสามารถเลือกได้ว่าอินเทอร์เน็ตจะเห็นอะไร ยิ่งไปกว่านั้นหากกล่าวว่าไฟร์วอลล์ช่วยให้คุณสามารถดักจับการส่งสัญญาณ (ผ่านพร็อกซีย้อนกลับหรือตัวกรองการส่งผ่านบางชนิด) ดูที่การใช้งานเพื่อให้การกระทำที่ถูกต้องตามกฎหมายเกิดขึ้นเท่านั้น

สิ่งนี้ได้ทำไปแล้ว - มี (หรือเคย) การตั้งค่าธนาคารทางอินเทอร์เน็ตที่มีพร็อกซีการปรับสมดุลภาระที่เผชิญกับอินเทอร์เน็ตที่พวกเขากำลังจะใช้เพื่อโจมตีเวกเตอร์ห่างจากกลุ่มของเซิร์ฟเวอร์ ผู้เชี่ยวชาญด้านความปลอดภัยมาร์คัส Ranum เชื่อว่าพวกเขาจะใช้วิธีตรงข้ามโดยใช้พร็อกซีย้อนกลับเพื่อช่วยให้ URL ที่ถูกต้องที่รู้จักกันเท่านั้นและส่งผ่านทุกอย่างอื่นไปยังเซิร์ฟเวอร์ มันยืนการทดสอบของเวลาที่ดีอย่างน่าประหลาดใจ

ระบบหรือเครือข่ายตามใบอนุญาตเริ่มต้นจะล้มเหลวอีกครั้งเมื่อการโจมตีที่คุณไม่คาดว่าจะเกิดขึ้น เริ่มต้นปฏิเสธช่วยให้คุณควบคุมไกลมากขึ้นกว่าสิ่งที่ได้รับในและสิ่งที่ไม่เพราะคุณจะไม่ปล่อยให้อะไรอยู่ข้างในจะเห็นได้จากภายนอกเว้นแต่จะด่ากันจะต้องมีการ

ที่กล่าวมาทั้งหมดนี้ไม่มีเหตุผลที่จะพอใจ คุณควรมีแผนในอีกสองสามชั่วโมงแรกหลังจากการฝ่าฝืน ไม่มีระบบที่สมบูรณ์แบบและมนุษย์ทำผิดพลาด


15

ผู้ดูแลออนไลน์ที่ดีช่วยฉันในการค้นหาว่าผู้โจมตีสามารถบุกรุกระบบได้อย่างไร แครกเกอร์บางคนพยายามซ่อนร่องรอยของพวกเขาโดยการปลอมเวลาแก้ไขไฟล์ ด้วยการเปลี่ยนเวลาการแก้ไขเวลาการเปลี่ยนแปลงจะถูกอัพเดต (ctime) คุณสามารถดูเวลาด้วยสถิติ

หนึ่งซับนี้แสดงรายการไฟล์ทั้งหมดเรียงตามเวลา:

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

ดังนั้นหากคุณรู้ระยะเวลาของการประนีประนอมคุณสามารถดูว่ามีการเปลี่ยนแปลงหรือสร้างไฟล์ใด


โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.