ดึงเครือข่ายหรือพลังงาน? (สำหรับการต่อเชื่อมเซิร์ฟเวอร์ที่รูท)


11

เมื่อเซิร์ฟเวอร์ได้รับการฝังราก ( เช่นสถานการณ์เช่นนี้ ) ซึ่งเป็นหนึ่งในสิ่งแรกที่คุณอาจตัดสินใจที่จะทำคือการบรรจุ ผู้เชี่ยวชาญด้านความปลอดภัยบางคนไม่แนะนำให้เข้าสู่การแก้ไขทันทีและทำให้เซิร์ฟเวอร์ออนไลน์จนกว่าการนิติเวชจะเสร็จสมบูรณ์ ผู้ให้คำแนะนำแก่มักจะสำหรับAPT มันแตกต่างกันถ้าคุณมีการรั่วไหลของkiddie Scriptเป็นครั้งคราวดังนั้นคุณอาจตัดสินใจแก้ไข (แก้ไขสิ่งต่าง ๆ ) ก่อน หนึ่งในขั้นตอนในการแก้ไขคือการควบคุมเซิร์ฟเวอร์ การอ้างอิงจากคำตอบของ Robert Moir - "ตัดการเชื่อมต่อกับเหยื่อจากมิจฉาชีพ"

เซิร์ฟเวอร์สามารถที่มีอยู่โดยดึงสายเคเบิลเครือข่ายหรือสายไฟ

วิธีไหนดีกว่ากัน?

คำนึงถึงความจำเป็นในการ:

  1. ปกป้องผู้ที่ตกเป็นเหยื่อจากความเสียหายต่อไป
  2. การดำเนินการทางนิติวิทยาศาสตร์ที่ประสบความสำเร็จ
  3. (อาจเป็นไปได้)การปกป้องข้อมูลที่มีค่าบนเซิร์ฟเวอร์

แก้ไข: 5 ข้อสมมติฐาน

สมมติว่า:

  1. คุณตรวจพบเร็ว: 24 ชั่วโมง
  2. คุณต้องการกู้คืนก่อนกำหนด: 3 วันจาก 1 ระบบผู้ดูแลระบบในงาน (นิติเวชและการกู้คืน)
  3. เซิร์ฟเวอร์ไม่ได้เป็นเครื่องเสมือนหรือคอนเทนเนอร์ที่สามารถถ่ายภาพหน้าจอที่จับเนื้อหาของหน่วยความจำเซิร์ฟเวอร์
  4. คุณตัดสินใจที่จะไม่พยายามดำเนินคดี
  5. คุณสงสัยว่าผู้โจมตีอาจใช้ซอฟต์แวร์บางรูปแบบ (อาจซับซ้อน) และซอฟต์แวร์นี้ยังคงทำงานบนเซิร์ฟเวอร์

2
คุณอาจต้องการแวะมาที่นี่เช่นกัน: security.stackexchange.com
sysadmin1138


2
@Tom - มันไม่ใช่การล่อลวงมันเป็นการอภิปรายส่วนขยายของจุดเฉพาะจากคำถามนั้น
mfinni


คำตอบ:


6

หากคุณกำลังเผชิญกับ APT ตัวเลือกที่ดีที่สุดของคุณคือตั้งค่า honeypot และตรวจสอบปริมาณการใช้งานทั้งหมดที่ไหลเข้าและออกอย่างละเอียดนอกเหนือจากการตรวจสอบเซิร์ฟเวอร์

การวัดจำนวนหน่วยความจำนั้นแพงมากทั้งในแง่ของเวลาและความพยายามซึ่งโดยปกติแล้วจะไม่คุ้มค่าหากคุณไม่ได้ลองวิธีอื่นทุกวิธีและถ้าคุณพิจารณาว่าคุ้มค่า หน่วยความจำและสถานะของระบบไปยังเครื่องอื่นได้ทันทีดังนั้นคุณสามารถทำการวิเคราะห์โดยตรวจพบภัยคุกคามน้อยลงในขณะที่เครื่องกำลังทำงาน

ฉันมีสถานการณ์หนึ่งที่ผู้โจมตีเก็บทุกอย่างไว้ในหน่วยความจำจนอยู่ในระดับที่ยกเว้นการล็อกเครื่องดูเหมือนภาพของมันเมื่อเปิดและปิดเครื่อง พวกเขาจะแฮ็กกลับมาและเริ่มใช้อีกครั้งเพราะช่องโหว่ยังคงอยู่ที่นั่น - พวกเขาไม่จำเป็นต้องออกไปข้างนอกด้วยตนเอง การประเมินหน่วยความจำอาจช่วยได้ที่นี่ แต่การดูการรับส่งข้อมูลก็เพียงพอแล้วในกรณีนี้เพื่อระบุช่องโหว่ได้อย่างรวดเร็ว

ดังนั้น:

เหตุผลเดียวที่จะหลีกเลี่ยงการดึงพลังงานและทำการประเมินดิสก์แบบออฟไลน์คือหากคุณต้องเผชิญกับความเจ็บปวดจากการทำการวิเคราะห์หน่วยความจำอย่างละเอียดเกี่ยวกับภัยคุกคามในขณะที่กำลังดำเนินการอยู่ หากคุณได้มาถึงจุดที่จำเป็นแล้วก็ไม่มีเหตุผลที่จะดึงปลั๊กทั้งสอง

หากคุณไม่ได้ทำการวิเคราะห์หน่วยความจำการดึงปลั๊กไฟเป็นทางออกที่ดีที่สุดของคุณ - การดึงอีเธอร์เน็ต (หรือใช้คำสั่งปิดระบบ) เป็นเพียงการแจ้งเตือนล่วงหน้าของซอฟต์แวร์ของผู้โจมตีซึ่งจะเกิดขึ้นเป็นครั้งคราว

ดังนั้น:

ดึงทั้งคู่ยกเว้นว่าคุณกำลังทำการวิเคราะห์หน่วยความจำซึ่งในกรณีนี้อย่าดึง


16

แรมนิติวิทยาศาสตร์ (เช่น / dev / shm) จะมีประโยชน์

แต่ฉันชอบถอดสายไฟออก (แต่ลองเข้าสู่ระบบและ rsync / proc ก่อน)

เหตุผลในการเลือกสายไฟคือ:

  1. เมื่อคุณทำการนิติเวชในระบบที่ถูกแฮ็กคุณกำลัง "ก้าวข้ามฉากอาชญากรรม"
  2. ชุดรูทยังคงทำงานต่อไป - ไม่ยากนักสำหรับผู้ประสงค์ร้ายที่จะดำเนินการบางอย่าง (เช่นการล้างข้อมูลออกจากระบบ) ในเหตุการณ์Network Link Down

ไคล์แรนคิ่นพูดคุยกับนิติวิทยาศาสตร์เบื้องต้นได้ดีเขาแนะนำให้ดึงสายไฟ


+1 สำหรับ "ก้าวข้ามฉากอาชญากรรม" ถ้าคุณไม่ทราบว่ากำลังทำอะไรอยู่หรือไม่สนใจรวบรวมหลักฐานทางนิติเวชที่แน่นอนคุณอาจต้องการโทรหาผู้เชี่ยวชาญมากกว่าจะทำให้หลักฐานที่เป็น
พิษเสีย

10

ตัดการเชื่อมต่อเครือข่าย ผู้โจมตีไม่สามารถดึงข้อมูลเพิ่มเติมได้หากไม่มีการเชื่อมต่อเครือข่าย มันยากมาก (อ่าน: เป็นไปไม่ได้) ที่จะทำการพิสูจน์ทางนิติเวชโดยไม่มีอำนาจ


3
คุณสามารถ (และน่าจะ) ทำนิติจากออฟไลน์ (A) ผ่านไลฟ์ซีดี (B) โดยย้ายฮาร์ดไดรฟ์ไปยังระบบอื่นหรือ (C) หลังจากถ่ายภาพฮาร์ดไดรฟ์ที่ได้รับผลกระทบ (ผ่านไลฟ์ซีดี) .
Aleksandr Levchuk

3
หลักฐานที่มีประโยชน์มักอยู่ในความทรงจำ จำเป็นต้องได้รับอนุญาตก่อนที่จะมีการสูญเสียพลังงาน
Sirex

นอกจากนี้ยังคิดว่าจะตัดการเชื่อมต่ออินเตอร์เฟซ LOM โดยความปลอดภัย :)
Kedare

7

ในวันนี้และอายุมันอาจเป็นเครื่องเสมือนดังนั้นวิธีการอย่างใดอย่างหนึ่งได้ง่ายและสามารถทำได้จากระยะไกล (เครื่องเสมือนก่อให้เกิดความเป็นไปได้ในการใช้สแนปชอตด้วยเช่นกัน)

ฉันขอแนะนำให้ตัดการเชื่อมต่อจากเครือข่ายเป็นขั้นตอนแรกโดยอัตโนมัติเพราะนี่จะให้เวลาคุณไตร่ตรองว่าขั้นตอนต่อไปควรเป็นอย่างไรไม่ว่าขั้นตอนต่อไปคือการดึงสายไฟออกหรืออย่างอื่น หากคุณรู้ว่า "ขั้นตอนการตอบสนองความปลอดภัย" ขององค์กรจะไม่อนุญาตให้คุณใช้เวลาขุดผ่านเครื่องโดยละเอียดแล้วการรักษาเนื้อหาของ RAM อาจไม่สำคัญ

ฉันขอแนะนำว่าการ "แยกเหยื่อออกจากผู้บุกรุก" ในทุกวิถีทางมีความสำคัญมากกว่าวิธีการดังนั้นทั้งสองวิธีจึงถูกต้อง ฉันจะไม่มีปัญหากับการดึงสายไฟตัวเองให้มันเป็นอย่างนั้น


+1 สำหรับ VM หากคุณถอดปลั๊กเครือข่ายรูทคิทก็ยังคงทำงานต่อไป - ไม่ยากนักสำหรับอันตรายที่จะดำเนินการบางอย่าง (เช่นการล้างข้อมูลออกจากระบบ) ในเหตุการณ์Network Link Down
Aleksandr Levchuk

6
ภาพรวมของสถานะระบบที่กำลังทำงานอยู่เป็นความคิดที่ยอดเยี่ยมที่ฉันโกรธตัวเองเพราะไม่ได้คิดถึงมัน
jgoldschrafe

@Alexsandr - ฉันพยายามนึกถึงตัวอย่างจริงและฉันกำลังจะว่างเปล่า แต่ดูเหมือนว่าฉันจำรูทคิทที่อยู่ในหน่วยความจำทั้งหมดดังนั้นจะหายไปเมื่อดึงปลั๊กออกมา ฉันคิดว่าเป็นกรณีของวิธีใดวิธีหนึ่งมีความเสี่ยงในการสูญเสียหลักฐาน
Rob Moir

6

นี่ไม่ใช่ / หรือสถานการณ์ โดยทั่วไปคุณต้องการทำทั้งสองอย่าง - คุณต้องการดำเนินการทางนิติวิทยาศาสตร์ (ถ่ายโอนข้อมูลกระบวนการทำงาน, ซ็อกเก็ตการฟัง, ไฟล์ใน / tmp, ฯลฯ ) บนระบบที่ถูกลบออกจากเครือข่ายแล้วทำการวินิจฉัยที่เหลือของคุณจากที่ปลอดภัย สภาพแวดล้อม (เช่นซีดีสด) มีสถานการณ์ที่ไม่มีวิธีการใดที่เหมาะสมและคุณต้องคิดและทำความเข้าใจกับสิ่งที่อาจมีในองค์กรของคุณ


หากคุณถอดเครือข่าย rootkit ช่วยให้การทำงาน - ไม่ได้ยากสำหรับโค้ดที่เป็นอันตรายในการดำเนินการบางสิ่งบางอย่าง (เช่นระบบเช็ดออก) บนเครือข่ายเชื่อมโยงลงเหตุการณ์
Aleksandr Levchuk

มันเป็นความจริงอย่างแน่นอนและเป็นโอกาสที่คุณจะต้องประเมินและตัดสินใจว่าคุณต้องการที่จะขึ้นอยู่กับความอ่อนไหวของสถานการณ์ รูทคิทบางตัวนั้นอาศัยอยู่ในหน่วยความจำเท่านั้นและถ้าคุณฆ่าพลังให้กับระบบ คุณอาจลองปิดกั้นทราฟฟิกออกจากพอร์ตสวิทซ์ในขณะที่ยังคงสถานะลิงก์ แต่รูทคิตใด ๆ เป็นซอฟต์แวร์และสามารถทำสิ่งใดก็ได้ที่ซอฟต์แวร์อื่นสามารถทำได้
jgoldschrafe

4

ก่อนที่คุณจะทำอะไรให้คิดออกว่าคุณจำเป็นต้องเก็บหลักฐานไว้เพื่อการฟ้องร้องในที่สุดหรือไม่ การจัดการกับหลักฐานเป็นเรื่องที่ยุ่งยากมากและไม่ใช่สำหรับผู้ที่ได้รับการฝึกฝนอย่างแผ่วเบา เมื่อคุณตอบแล้วผู้ที่ได้รับการฝึกอบรมด้านนิติคอมพิวเตอร์ก็สามารถรับได้จากที่นั่น


1
ก่อนอื่นฉันคิดว่าควรเลือกฟ้องร้องหรือไม่? . Kyle Rankin ในการพูดคุยของเขา ( goo.gl/g21Ok ) เริ่มต้นด้วยการพูดคุยเรื่องนี้ ในการดำเนินคดีเราจะต้องแสดงหลักฐานการสูญเสียมหาเศรษฐี
Aleksandr Levchuk

1
@ อเลคซานเดอร์โดยทั่วไปคุณจำเป็นต้องรู้มากในช่วงต้นของกระบวนการไม่ว่าคุณจะสามารถใช้ฮาร์ดแวร์และข้อมูลที่ถูกบุกรุกอีกครั้งหรือไม่หรือคุณจะต้องจัดเก็บมันไว้และสร้างระบบใหม่จากชิ้นส่วนใหม่ที่สมบูรณ์ สิ่งนี้มีโอกาสมากก่อนที่คุณจะได้พิสูจน์การสูญเสียชื่อเสียงทางการเงินหรือธุรกิจ การรักษาห่วงโซ่หลักฐานจำเป็นต้องเกิดขึ้นทันทีที่มีคนตระหนักว่าเหตุการณ์ที่อาจเกิดขึ้นได้
sysadmin1138

บ่อยครั้งที่ดีที่สุดที่จะเริ่มต้นด้วยการรักษาทางเลือกให้เปิดดำเนินคดีหรือไม่ตามที่คุณอาจไม่รู้ว่ามีการสูญเสียเงินหรือไม่ดังนั้นในระยะแรกที่ทำทุกอย่างด้วยหนังสือการรักษาห่วงโซ่การดูแลนั้นเป็นสิ่งสำคัญ
Rory Alsop

3

ไม่จำเป็นต้องปิดเซิร์ฟเวอร์ คุณสามารถปิดการเชื่อมต่อจากเกตเวย์ / เราเตอร์ที่ชายแดนได้ กฎไฟร์วอลล์หนึ่งข้อจะเพียงพอที่จะทิ้งแพ็กเก็ตที่ส่ง / รับเพิ่มเติม


+1 นั่นคือเหตุผลหนึ่งว่าทำไมการมีเกตเวย์เป็นความคิดที่ดี แต่ถ้าคุณไม่มีล่ะ หากคุณถอดสายเคเบิลเครือข่ายโดยตรงรูทคิทสามารถรับเหตุการณ์ลิงค์เครือข่ายลงได้ และไม่ได้ลงชื่อเข้าใช้เซิร์ฟเวอร์ที่ถูกรูทและทำสิ่งที่นั่นในวันที่ 0 เป็นความคิดที่ไม่ดี?
Aleksandr Levchuk

2

คำตอบขึ้นอยู่กับสิ่งที่คุณหมายถึงโดย "หยั่งราก" การดึงผู้นำเครือข่ายมักเป็นความคิดที่ดีโดยเฉพาะอย่างยิ่งหากคุณเชื่อว่านี่เป็นผู้โจมตีที่ใช้งานมนุษย์กำลังมองหาข้อมูลที่ละเอียดอ่อน

การดึงพลังนั้นตอบยากกว่ามาก หากคุณรู้สึกว่ามีรหัสที่เป็นอันตรายซึ่งอาจครอบคลุมแทร็กของมันให้ทำเช่นนั้น อย่างไรก็ตามหากคุณรู้สึกว่าอาจมีหลักฐานว่ามีการหยุดพักในหน่วยความจำให้ปล่อยให้มันทำงาน

โดยรวมแล้วขึ้นอยู่กับว่าคุณกำลังจัดการกับโค้ดที่เป็นอันตรายพนักงานที่ไม่พอใจหรือบุคคลที่มีเป้าหมายเฉพาะ

หากทำผิดด้านข้างของข้อควรระวังให้ดึงพลังงาน คุณจะสูญเสียหลักฐานที่เป็นไปได้เล็กน้อย แต่อาจป้องกันไม่ให้มีการลบหลักฐานอื่น ๆ อีกมากด้วยรหัสอัตโนมัติ

- จากนั้นอีกครั้งถ้าคุณรู้สึกว่าเครื่องที่ได้รับการโจมตีและคุณจะรู้ว่ามันไม่ได้มีข้อมูลที่สำคัญเกี่ยวกับมันคุณมากความมั่นใจในการรักษาความปลอดภัยเครือข่ายของคุณที่อื่นและเข้าใจผลกระทบของการทำเช่นนั้นอาจได้รับ Boffin นิติวิทยาศาสตร์ในเร็วและ ดูว่าคุณสามารถติดตามหรือเข้าใจการโจมตีและไปจากที่นั่น แต่นั่นไม่ใช่ความคิดที่ดี


1

คำตอบของฉันคือก่อนการแก้ไขด้วยสมมติฐาน 5 ข้อ
ข้อสันนิษฐานของฉันคือหากเซิร์ฟเวอร์ของคุณได้รับการรูตคุณกำลังจัดการกับผู้โจมตีที่มีความซับซ้อนและมีเป้าหมายและคุณไม่มีทางรู้ได้ว่าเมื่อไรและที่ไหนที่การโจมตีมาจาก (เนื่องจากเครื่องมีการรูทคุณไม่สามารถไว้ใจสิ่งที่มันบอกคุณได้อย่างไรก็ตามคุณอาจมีข้อมูลนอกกรอบเช่น IDS ... )
ฉันคิดว่าคุณสนใจที่จะจัดการกับผู้โจมตีของคุณและไม่ใช่แค่โบกมือ เขาเหมือนแมลงวันที่น่ารำคาญ หากผู้โจมตีที่สันนิษฐานว่าเป็นตัวเล็กสคริปต์นี้จะแตกต่างกัน ฉันสันนิษฐานว่าเนื่องจากผู้โจมตีมีเป้าหมายและมีความซับซ้อนจึงเป็นไปได้ว่าพวกเขาจะมีซอฟต์แวร์ที่กำหนดเองที่ทำงานบนเครื่องของคุณซึ่งสามารถตอบสนองต่อการกระทำของคุณที่มีต่อ ...


ทั้ง
ลองดูที่/security//q/181/33ไม่ว่าจะเป็นความคิดที่แย่ก็ตาม
มันเหมือนกับการให้ bandaids แก่อัศวินดำสองสามตัว... สายเกินไปมันสายเกินไปที่จะช่วยได้ไม่มากนัก


สำหรับผู้ที่รู้สึกว่าคำตอบนี้อยู่ไกลเกินไปที่จะออกมีหรือไม่ "ที่ใส่ใจความปลอดภัย" พอ - คุณจำเป็นต้องรู้ว่ามันสายเกินไปแล้ว
ไม่ใช่เซิร์ฟเวอร์ของคุณอีกต่อไปแม้ว่าคุณจะยกเลิกการเชื่อมต่อทั้งหมด แม้ว่าคุณจะปิดตัวลงวิ่งแสดง AV และสิ่งทั้งหมดของคุณ - คุณไม่ได้เป็นเจ้าของมันอีกต่อไปที่พวกเขาทำ
นั่นคือความหมายของ "rooted"

ทีนี้สมมติว่าพวกเขาเป็นเจ้าของและสามารถซ่อนความเป็นเจ้าของของพวกเขาได้จากคุณคุณต้องพิจารณา - อะไรคือสิ่งที่ทำให้การเชื่อมต่อนั้นสำเร็จ เพียงสิ่งที่มันจะบรรลุ - เพราะมันจะยังคงถูกฝังโดยไม่คำนึงถึง - คือการปล่อยให้ศัตรูของคุณรู้ว่าคุณอยู่กับพวกเขา ซึ่งทำให้ทหารองครักษ์ของพวกเขาและทำให้พวกเขาเริ่มทำความสะอาดหลังจากพวกเขา (ถ้าพวกเขายังไม่ได้) ซึ่งจะฆ่าความหวังของนิติเวช คุณยังไม่ได้ปกป้องเซิร์ฟเวอร์นั้นหรือข้อมูลใด ๆ มันถูกรูทมานานเท่าไหร่? คุณจะรู้ได้อย่างไร

สิ่งที่คุณทำได้ดีกว่า:

  • ปล่อยเซิร์ฟเวอร์ให้ทำงาน ...
  • แยกมันออกจากส่วนที่เหลือของเครือข่ายภายในของคุณเซิร์ฟเวอร์อื่น ๆ ฯลฯ - แต่ดีที่สุดที่จะเสียบในการจำลองบางชนิดดังนั้นจึงดูเหมือนว่าเชื่อมต่อ
  • เริ่มต้นการพิสูจน์หลักฐานแบบเรียลไทม์ / เครือข่ายอย่างเงียบ ๆ เรียกใช้การติดตามเป็นต้น
  • ลองหาขอบเขตและความยาวของความเสียหาย (เห็นได้ชัดว่ามันแตกต่างกันถ้ามันเกิดขึ้นเมื่อ 2 ชั่วโมงก่อนหรือ 2 เดือนก่อน)
  • ดำเนินการต่อจากที่นั่น ... หลังจากบรรเทาความเสียหายตามจริงไปข้างหน้าและทำความสะอาด
  • แน่นอนว่าอย่าลืมตรวจสอบสาเหตุที่แท้จริงและบังคับใช้สิ่งควบคุมเพื่อให้แน่ใจว่ามันจะไม่เกิดขึ้นอีกครั้ง ...

2
ฉันคิดว่าสิ่งนี้สามารถทำงานได้ในสถานการณ์ที่คุณสามารถย้ายไปยังสภาพแวดล้อมที่จำลอง / แยกได้อย่างรวดเร็ว แต่มีเพียงไม่กี่องค์กรที่สามารถทำสิ่งนี้ได้ในความเป็นจริงพวกเขาต้องการไปที่ด้าน 'ลดผลกระทบ' ของสิ่งต่าง ๆ มักเป็นการกำจัดภัยคุกคามนั้นทันที (ยัง +1 คุณอยู่ตามที่ฉันหวังว่ามันจะเป็นเช่นนี้ :-)
Rory Alsop

@ ปัญหาที่เกิดขึ้นคือคุณไม่สามารถลดผลกระทบให้น้อยที่สุดเซิร์ฟเวอร์ได้ถูก pwned แล้ว คุณยังไม่ได้รับข้อมูลนั้นและข้อมูลที่ละเอียดอ่อนก็อาจถูกขโมยเช่นกันเนื่องจากคุณไม่รู้ว่าพวกเขาเข้าถึงได้นานแค่ไหน ที่กล่าวว่าสภาพแวดล้อมจำลองเป็นเพียงไอซิ่งมันเป็นสิ่งสำคัญที่แยกออกมา - และฉันเชื่อว่าองค์กรส่วนใหญ่มีไฟร์วอลล์ที่มั่นคงอยู่ในสถานที่พลิกกฎการเข้าถึงบางอย่างและคุณก็เป็นทองคำ นั่นเป็นอีกเหตุผลที่เซิร์ฟเวอร์ที่เข้าถึงได้ควรอยู่ใน DMZ - ทำให้ส่วนนั้นง่ายขึ้น ....
AviD

นอกจากนี้ผมต้องการที่จะทำอะไรบางอย่างที่ชัดเจน - ข้างต้นใช้เมื่อ OS จะฝังราก หากมีรูปแบบของช่องโหว่ระดับแอพลิเคชัน (เช่น SQL Injection) ถูกเอาเปรียบในเว็บไซต์ของคุณบางอย่างปิดมันลงและดึงสายไฟทั้งหมดที่คุณจะได้รับในมือของคุณ! แต่รูตของระบบปฏิบัติการแตกต่าง - ควบคุมโครงสร้างพื้นฐานทั้งหมดของเครื่องของคุณ คุณไม่สามารถควบคุมได้อีกต่อไป
AviD

2
ไม่สิ่งที่ฉันหมายถึงลดผลกระทบให้น้อยกว่าเครื่องที่รูทเครื่อง ฉันยอมรับว่ามันหายไปโดยสิ้นเชิง แต่ถ้าคุณไม่สามารถแยกมันออกได้อย่างรวดเร็วคุณไม่มีทางรู้ว่าคอนโทรลเลอร์ทำอะไรกับระบบที่เหลือของคุณ
Rory Alsop

0

หลังจากตรวจสอบสมมติฐานของคุณแล้ว ใช้สื่อที่ใช้ซีดี / ดีวีดีเพื่อถ่ายโอนข้อมูลสถานะปัจจุบัน ในขั้นต้นคุณจะต้องการทราบวิธีที่คุณถูกโจมตี คุณอาจต้องการพยายามกู้คืนข้อมูลผู้ใช้ที่ไม่ได้อยู่ในรูปสำรองของคุณ โย่

จากนั้นสร้างระบบจากสื่อบันทึกข้อมูลสำรองล่าสุดที่ไม่ได้ปนเปื้อน ตรวจสอบเรื่องนี้ด้วย checksums ถ้าเป็นไปได้ อีกวิธีหนึ่งคือติดตั้งซอฟต์แวร์ใหม่จากสื่อการติดตั้งและกำหนดค่าใหม่ การกำหนดค่าใหม่ควรเป็นแบบอัตโนมัติหากคุณใช้ Puppet หรือ cfEngine เพื่อกำหนดค่าเซิร์ฟเวอร์ของคุณ

รีโหลดข้อมูลผู้ใช้และสแกนหาส่วนประกอบของชุดคิท ตรวจสอบว่าคุณไม่มีโปรแกรม setuid หรือ setgid ในไดเรกทอรีข้อมูล

กำหนดและปิดวิธีการเข้าถึงที่ใช้เพื่อติดระบบ การเปิดใช้งานสเตจอีกครั้งของเซิร์ฟเวอร์ทำให้มีเวลาในการตรวจสอบแอปพลิเคชันที่กำลังทำงาน ตรวจสอบอย่างรอบคอบสำหรับความพยายามในการติดเชื้อใหม่

ทั้งหมดนี้ถือว่าการติดเชื้ออยู่ในระดับราก การติดไวรัสบนเว็บสามารถทำได้โดยการแก้ไขโค้ดที่รันโดยเว็บเซิร์ฟเวอร์ การอนุญาตให้เว็บเซิร์ฟเวอร์เข้าถึงการเขียนโค้ดอาจทำให้การดำเนินการนี้ทำได้ง่ายขึ้น คุณอาจยังคงต้องการใช้กรณีนี้ราวกับว่าบัญชีรูทถูกบุกรุก

หากรูทบนระบบใดระบบหนึ่งถูกบุกรุกคุณอาจมีระบบที่ถูกบุกรุกมากขึ้น พิจารณาอย่างรอบคอบว่าระบบใดที่สามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านจากระบบที่ติดเชื้อ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.