ค้นหาว่าเซิร์ฟเวอร์ถูกแฮ็คอย่างไร

11

ฉันเป็นเพียงการเรียกดูผ่านทางเว็บไซต์และพบว่าคำถามนี้: เซิร์ฟเวอร์ของฉันได้รับเมื่อเกิดเหตุฉุกเฉินที่ถูกแฮ็ก โดยพื้นฐานแล้วคำถามบอกว่า: เซิร์ฟเวอร์ของฉันถูกแฮ็ก ฉันควรทำอย่างไรดี?

ตอบที่ดีที่สุดที่เป็นเลิศ แต่มันยกคำถามบางอย่างในใจของฉัน หนึ่งในขั้นตอนที่แนะนำคือ:

ตรวจสอบระบบ 'โจมตี' เพื่อทำความเข้าใจว่าการโจมตีสำเร็จในการลดความปลอดภัยของคุณอย่างไร ใช้ความพยายามทุกวิถีทางเพื่อค้นหาว่าการโจมตี "มาจากที่ไหน" เพื่อให้คุณเข้าใจว่าคุณมีปัญหาอะไรบ้างและต้องระบุที่อยู่เพื่อให้ระบบของคุณปลอดภัยในอนาคต

ฉันไม่ได้ทำงานกับผู้ดูแลระบบดังนั้นฉันจึงไม่รู้ว่าจะเริ่มทำสิ่งนี้อย่างไร ขั้นตอนแรกคืออะไร? ฉันรู้ว่าคุณสามารถดูในไฟล์บันทึกของเซิร์ฟเวอร์ แต่ในฐานะที่เป็นผู้โจมตีสิ่งแรกที่ฉันจะทำคือการลบไฟล์บันทึก คุณจะ "เข้าใจ" อย่างไรว่าการโจมตีสำเร็จอย่างไร

security 
sixtyfootersdude
แหล่งที่มา
ฉันเคยเห็นเซิร์ฟเวอร์ 'ที่ถูกแฮ็ก' สองสามตัวแล้วและไม่ใช่หนึ่งในนั้นที่ได้ลบบันทึก ฉันรู้ว่ามันเกิดขึ้นบ่อยครั้ง ผู้โจมตีมักจะมีวัตถุประสงค์หลัก (ขโมยข้อมูลหรือใช้เซิร์ฟเวอร์เป็นพร็อกซี / ตัวกลางทั่วไป) และการปิดบังการเข้าใช้นั้นเป็นวัตถุประสงค์รอง
Chris S
IMHO จะเป็นการดีกว่าถ้าเราถามตัวเราเองถึงวิธีการรักษาความปลอดภัยให้กับเซิร์ฟเวอร์และวิธีการตรวจสอบอย่างถูกต้อง
tmow
ในวันนี้และยุคเซิร์ฟเวอร์ "แฮ็ค" นั้นมักจะมาจากเครื่องมือตัวเล็กสคริปต์อัตโนมัติที่ไม่ค่อยเช็ดไฟล์บันทึกมักจะพยายามแม้แต่ซ่อนตัวเอง
Sirex

คำตอบ:

11

ฉันจะเริ่มต้นด้วยการพูดแบบนี้ถ้าคุณไม่มีไฟล์บันทึกการทำงานมีโอกาสที่คุณจะไม่เข้าใจว่าการโจมตีสำเร็จหรือไม่ แม้จะมีไฟล์บันทึกที่ครบถ้วนและเหมาะสมก็อาจเป็นเรื่องยากที่จะเข้าใจอย่างสมบูรณ์ว่าใครทำอะไรที่ไหนเมื่อใดทำไมและอย่างไร

ดังนั้นเมื่อรู้ว่าไฟล์บันทึกมีความสำคัญเพียงใดคุณจะเริ่มเข้าใจว่าคุณมีความปลอดภัยเพียงใด นี่คือเหตุผลที่ บริษัท ต่างๆควรทำและควรลงทุนในข้อมูลความปลอดภัยและการจัดการเหตุการณ์หรือ SIEM โดยย่อ

SIEM

โดยสรุปความสัมพันธ์ของไฟล์บันทึกทั้งหมดของคุณกับเหตุการณ์เฉพาะ (ตามเวลาหรืออย่างอื่น) อาจเป็นงานที่น่ากลัวอย่างยิ่ง เพียงดูที่ syslogs ของไฟร์วอลล์ของคุณในโหมดดีบักหากคุณไม่เชื่อฉัน และนั่นก็เป็นเพียงเครื่องเดียว! กระบวนการ SIEM ทำให้ไฟล์บันทึกเหล่านี้เป็นชุดของเหตุการณ์แบบลอจิคัลซึ่งทำให้ทราบว่าเกิดอะไรขึ้นง่ายต่อการเข้าใจมากขึ้น

ในการเริ่มต้นที่จะมีความเข้าใจที่ดีของวิธีการที่เป็นประโยชน์ในการศึกษาวิธีการเจาะ

นอกจากนี้ยังช่วยให้ทราบว่ามีการเขียนไวรัสอย่างไร หรือวิธีการเขียนรูทคิ

นอกจากนี้ยังสามารถเป็นประโยชน์อย่างมากในการติดตั้งและการศึกษาhoneypot

นอกจากนี้ยังช่วยให้มีการแยกวิเคราะห์บันทึกและมีความเชี่ยวชาญกับมัน

การรวบรวมพื้นฐานสำหรับเครือข่ายและระบบของคุณมีประโยชน์ การรับส่งข้อมูล "ปกติ" ในสถานการณ์ของคุณกับการเข้าชม "ผิดปกติ" คืออะไร

CERTมีคำแนะนำที่ดีเยี่ยมเกี่ยวกับสิ่งที่ต้องทำหลังจากที่คอมพิวเตอร์ของคุณถูกแฮ็คโดยเฉพาะอย่างยิ่ง (ซึ่งเกี่ยวข้องโดยตรงกับคำถามของคุณโดยตรง) ส่วนที่ "วิเคราะห์การบุกรุก":

  • ค้นหาการแก้ไขที่ทำกับซอฟต์แวร์ระบบและไฟล์การกำหนดค่า
  • ค้นหาการปรับเปลี่ยนข้อมูล
  • มองหาเครื่องมือและข้อมูลที่ผู้บุกรุกทิ้งไว้
  • ตรวจสอบไฟล์บันทึก
  • มองหาสัญญาณของเครือข่ายดมกลิ่น
  • ตรวจสอบระบบอื่น ๆ ในเครือข่ายของคุณ
  • ตรวจสอบระบบที่เกี่ยวข้องหรือได้รับผลกระทบที่ไซต์ระยะไกล

มีคำถามมากมายที่คล้ายกับคำถามของคุณที่ถูกถามใน SF:

  1. วิธีทำชันสูตรของเซิร์ฟเวอร์แฮ็ค
  2. รายการแปลกในไฟล์โฮสต์และ Netstat
  3. นี่เป็นความพยายามในการแฮ็กหรือไม่
  4. ฉันจะเรียนรู้ Linux จากการแฮ็คหรือมุมมองความปลอดภัยได้อย่างไร

นี่อาจเป็นกระบวนการที่ซับซ้อนและซับซ้อนมาก คนส่วนใหญ่ที่ฉันรวมอยู่จะจ้างที่ปรึกษาหากมีส่วนเกี่ยวข้องมากกว่าสิ่งที่เครื่อง SIEM ของฉันสามารถรวบรวมได้

และเห็นได้ชัดว่าถ้าคุณเคยต้องการที่จะเต็มเข้าใจวิธีการที่ระบบของคุณถูกแฮ็กคุณจะต้องจ่ายปี การศึกษาพวกเขาและให้ผู้หญิง

GregD
แหล่งที่มา
+1 สำหรับการวางรากฐานก่อนที่จะเกิดขึ้นกับ SIEM
Rob Moir
ขอโทษ คำตอบของฉันคือทุกที่ทุกเวลา ฉันเริ่มเขียนเมื่อเวลา 04:00 น. และกาแฟ IV ของฉันยังไม่ถูกใส่เข้าไป
GregD
2

คำตอบที่นิดหน่อยอาจจะกว้างและสูงกว่าหนึ่งล้านไมล์และการเลิกทำสิ่งที่เกิดขึ้นกับเซิร์ฟเวอร์ที่ถูกแฮ็กนั้นอาจเป็นสิ่งที่เปลี่ยนแปลงไปมากพอ ๆ กับสิ่งอื่นดังนั้นฉันจะให้จุดเริ่มต้นและตัวอย่างมากกว่าชุดที่ชัดเจน ขั้นตอนในการปฏิบัติตาม

สิ่งหนึ่งที่ต้องจำไว้คือเมื่อคุณประสบกับการบุกรุกคุณสามารถตรวจสอบรหัสของคุณการบริหารระบบ / การกำหนดค่าและขั้นตอนการทำงานโดยที่ความรู้ว่ามีจุดอ่อนอยู่ที่นั่น สิ่งนี้ช่วยกระตุ้นแรงบันดาลใจมากกว่าการค้นหาจุดอ่อนเชิงทฤษฎีที่อาจมีหรือไม่มี บ่อยครั้งที่ผู้คนใส่ข้อมูลออนไลน์ขณะที่รู้ว่ารหัสนั้นสามารถตรวจสอบได้ยากขึ้นหากเรามีเวลาเท่านั้น หรือระบบล็อคอีกเล็กน้อยอย่างแน่นหนาถ้าเพียง แต่มันก็ไม่สะดวก หรือขั้นตอนที่เข้มงวดมากขึ้นถ้าเจ้านายไม่จำรหัสผ่านที่ยาวเกินไป เราทุกคนรู้ว่าจุดอ่อนของเราอยู่ที่ไหนดังนั้นเริ่มต้นจากจุดอ่อนเหล่านั้น

ในโลกอุดมคติคุณจะมีบันทึกที่เก็บไว้ในเซิร์ฟเวอร์syslog (หวังว่าจะไม่เป็นอันตราย) ไม่เพียง แต่มาจากเซิร์ฟเวอร์ แต่มาจากไฟร์วอลล์เราเตอร์และอื่น ๆ ที่บันทึกปริมาณการใช้งาน นอกจากนี้ยังมีเครื่องมืออย่างNessusที่สามารถวิเคราะห์ระบบและค้นหาจุดอ่อนได้

สำหรับซอฟต์แวร์ / framworks จากบุคคลที่สามมักจะมีแนวทางปฏิบัติที่ดีที่สุดที่คุณสามารถใช้ในการตรวจสอบการปรับใช้ของคุณหรือคุณอาจให้ความสำคัญกับข่าวความปลอดภัยและกำหนดการแก้ไขและค้นพบช่องโหว่ที่อาจมีการใช้งาน

ท้ายที่สุดการบุกรุกส่วนใหญ่จะปล่อยให้คนจน ... ถ้าคุณมีเวลาและความอดทนที่จะหามัน "ขับโดย" สคริปต์ตัวเล็กหรือการบุกรุกโดยใช้ชุดเครื่องมือแฮ็คมักจะเน้นจุดอ่อนที่พบบ่อยและสามารถออกจากรูปแบบที่ชี้ให้คุณไปในทิศทางที่ถูกต้อง สิ่งที่ยากที่สุดในการวิเคราะห์คือการบุกรุกด้วยตนเอง (เช่นมีคนไม่ต้องการแฮ็ค "เว็บไซต์" แต่แทนที่จะต้องการแฮ็ก "เว็บไซต์" ของคุณ "โดยเฉพาะ) และแน่นอนว่าสิ่งเหล่านี้เป็นสิ่งที่สำคัญที่สุดที่จะเข้าใจ

สำหรับคนที่ไม่รู้ว่าจะเริ่มตรงไหน (หรือสำหรับคนที่มีประสบการณ์ที่มีหน้าที่อื่น ๆ ) ขั้นตอนแรกคือการจ้างคนที่มีประสบการณ์ที่ดีในขั้นตอนข้างต้น ข้อดีอีกประการของวิธีการนี้คือพวกเขาจะมองไปที่การตั้งค่าของคุณโดยไม่คิดล่วงหน้าหรือมีส่วนร่วมในคำตอบ

Rob Moir
แหล่งที่มา
1
+1 ในความเป็นจริงฉันจะเพิ่มว่าการป้องกันดีกว่าแล้วที่จะต่อสู้นั่นหมายความว่าเพียงป้องกันไม่ให้วันหนึ่งเกิดขึ้น ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องมีกลยุทธ์ในการลดความยุ่งยากและลดผลกระทบ
tmow
1

"ฉันรู้ว่าคุณสามารถดูไฟล์ล็อกเซิร์ฟเวอร์ แต่ในฐานะผู้โจมตีสิ่งแรกที่ฉันจะทำคือการลบไฟล์บันทึก"

ขึ้นอยู่กับประเภทของการประนีประนอมผู้โจมตีอาจมีสิทธิ์ไม่เพียงพอในเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อให้สามารถลบบันทึกได้ เป็นวิธีปฏิบัติที่ดีที่สุดในการจัดเก็บบันทึกเซิร์ฟเวอร์ไว้ในกล่องปิดบนเซิร์ฟเวอร์อื่นเพื่อป้องกันการปลอมแปลง (ส่งออกโดยอัตโนมัติตามช่วงเวลาที่กำหนด)

นอกเหนือจากบันทึกของเซิร์ฟเวอร์ที่ถูกบุกรุกแล้วยังมีบันทึกการเชื่อมต่อเครือข่าย (ไฟร์วอลล์เราเตอร์และอื่น ๆ ) รวมถึงบันทึกการตรวจสอบสิทธิ์จากบริการไดเรกทอรีหากมีหนึ่งรายการ (Active Directory, RADIUS, ect)

ดังนั้นการดูบันทึกจึงยังคงเป็นหนึ่งในสิ่งที่ดีที่สุดที่สามารถทำได้

เมื่อต้องรับมือกับกล่องที่ถูกบุกรุกการลอดผ่านบันทึกเป็นหนึ่งในวิธีการที่สำคัญของฉันในการจัดการสิ่งที่เกิดขึ้น

-Josh

Josh Brower
แหล่งที่มา
ฉันทำการวิเคราะห์บันทึกอย่าง จำกัด สำหรับภาคการศึกษาที่ผ่านมา คุณจะหาช่องในไฟล์บันทึกขนาดใหญ่ได้อย่างไร? คุณจะดูรายการสุดท้ายหรือไม่ คุณจะระบุรายการที่น่าสงสัยได้อย่างไร
sixtyfootersdude
คุณจะระบุรายการที่น่าสงสัยได้อย่างไร นึกคิดโดยการเก็บประวัติบันทึกการเปรียบเทียบและ / หรือตรวจสอบพวกเขาบ่อยพอที่จะรู้ว่ารายการที่ไม่น่าสงสัยมีลักษณะอย่างไรดังนั้นคุณสามารถกำจัดสิ่งปกติในแต่ละวันและมองสิ่งที่เหลืออยู่อย่างใกล้ชิด
Rob Moir
1
ฉันจะเห็นด้วยกับ Moir ดูแลระบบต้องการทราบระบบดีพอที่เขารู้เมื่อมีการเรียกใช้บริการที่ไม่ควร บางรายการบันทึกที่น่าสงสัยนั้นหาได้ง่ายเพราะมีลายเซ็นเฉพาะที่ออก (เช่นการสแกน Nimda) ในขณะที่รายการบันทึกอื่น ๆ บริบทอื่น ๆ จะเป็นตัวกำหนดว่ามันถูกต้องหรือไม่
Josh Brower
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.