ฉันจะตรวจสอบได้อย่างไรว่ากล่อง Linux ของฉันถูกแทรกซึม

ฉันเพิ่งอ่านบทความเกี่ยวกับการวิเคราะห์ความพยายามในการเข้าสู่ระบบ SSH ที่เป็นอันตราย สิ่งนี้ทำให้ฉันคิดว่าเป็นชื่อผู้ใช้ SSH รหัสผ่านผสมในกล่องเดเบียนของฉันที่ผิดปกติ? ฉันเคยตกเป็นเป้าหมายของการโจมตีพจนานุกรมที่ดุร้ายหรือไม่? ลองดูที่/var/log/auth.log.0 :

Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190
Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190
Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190
Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190
Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from 210.168.200.190
Sep 23 07:42:30 SLUG sshd[8313]: Invalid user tylan from 210.168.200.190
Sep 23 07:42:35 SLUG sshd[8315]: Invalid user tylar from 210.168.200.190
Sep 23 07:42:40 SLUG sshd[8317]: Invalid user tyler from 210.168.200.190
Sep 23 07:42:45 SLUG sshd[8319]: Invalid user tylerfrank from 210.168.200.190
Sep 23 07:42:50 SLUG sshd[8321]: Invalid user tyliah from 210.168.200.190
Sep 23 07:42:55 SLUG sshd[8323]: Invalid user tylor from 210.168.200.190

ดังนั้นมันจึงดูไม่ดี ตอนนี้ฉันรู้ว่าฉันถูกโจมตีโดยเป้าหมายและชื่อผู้ใช้ของฉันบางรหัสผ่านการผสมรหัสผ่านไม่แข็งแรงฉันต้องการทราบว่าฉันจะ ...

• ... พิจารณาว่ากล่อง Linux ของฉันถูกแทรกซึมหรือไม่
• ... ยกเลิกความเสียหายใด ๆ ที่ผู้กระทำผิดได้ทำไว้หรือไม่?
• ... ป้องกันไม่ให้สิ่งนี้เกิดขึ้นในอนาคตหรือไม่

UPDATE

คำแนะนำเกี่ยวกับการยกเลิกความเสียหายที่ผู้กระทำผิดได้ทำไว้?

ผู้คนจำนวนมากดูเหมือนจะแนะนำ DenyHosts แต่ฉันเห็นความสำเร็จมากมายกับFail2Banในระบบของฉัน มันตรวจสอบหาจำนวนความล้มเหลว (กำหนดค่าได้) จากนั้นทำการกระทำบนเซิร์ฟเวอร์ของฉันการกระทำนั้นคือการใช้ iptables เพื่อลดทราฟฟิกทั้งหมดจากโฮสต์ หลังจากการเข้าสู่ระบบล้มเหลว 10 ครั้งพวกเขาจะถูกแบนและนี่คือจุดสิ้นสุด

ฉันใช้สิ่งนี้ร่วมกับ Logcheck เพื่อที่ฉันจะได้รู้ว่าเกิดอะไรขึ้นบนเซิร์ฟเวอร์ของฉัน

หากคุณมีหลักฐานว่ามีใครบางคนบุกเข้ามาในระบบของคุณจริง (บันทึกที่คุณโพสต์ไม่ใช่หลักฐานของเรื่องนี้) ดังนั้นทางออกเดียวของคุณคือการสำรองข้อมูลทั้งหมดที่คุณต้องการเก็บกวาดเครื่องติดตั้งและกู้คืน จากการสำรองข้อมูล มิฉะนั้นจะไม่มีวิธีที่แน่นอน

ความพยายามในการเข้าสู่ระบบที่ถูกต้องจะถูกเข้าสู่ระบบด้วยเช่นกันดังนั้นหากคุณเห็นความพยายามที่ดุร้ายตามมาด้วยความสำเร็จนั่นเป็นข้อบ่งชี้ที่ดีว่ามีสิ่งเลวร้ายเกิดขึ้น

ฉันใช้DenyHostsเพื่อตรวจสอบบันทึกของฉันสำหรับทราฟฟิก SSH ที่น่าสงสัยและฉันได้กำหนดค่าให้ไฟร์วอลล์ปิดโฮสต์โดยอัตโนมัติ ณ จุดหนึ่ง

โปรดทราบว่ามีวิธีการอื่น ๆ อีกมากมายที่คุณต้องการตรวจสอบเครื่องของคุณเพื่อดูว่ามันถูกบุกรุกหรือไม่รวมถึงรูปแบบการโหลดกิจกรรมการเข้าสู่ระบบการรับส่งข้อมูลเป็นระยะการตรวจสอบกระบวนการทำงานและพอร์ตที่เปิดอยู่

หากคุณจะทำเพียงอย่างเดียวการโหลดระบบการตรวจสอบเป็นวิธีที่มีประสิทธิภาพมากในการตรวจจับการประนีประนอมเพราะเครื่องส่วนใหญ่เมื่อถูกโจมตีมักใช้ทำสิ่งต่าง ๆ เช่นส่งสแปมจำนวนมากหรือได้รับปริมาณข้อมูลจำนวนมาก อาจไม่มีประโยชน์หากคุณเป็นเป้าหมายที่มีมูลค่าสูงและผู้คนอาจพยายามบุกเข้ามาหาคุณโดยเฉพาะด้วยเหตุผลอื่นนอกจากเปลี่ยนโฮสต์ของคุณให้กลายเป็นซอมบี้ แต่ก็มีค่า ต้องมีการโหลดการตรวจสอบสำหรับการทำโปรไฟล์และคิดออกเมื่อคุณต้องการลงทุนในฮาร์ดแวร์หรือซอฟต์แวร์ที่ดีกว่า

คุณควรทำการวิเคราะห์บันทึกที่ครอบคลุมโดยดูที่ auth.log และอื่น ๆ สำหรับสิ่งที่ไม่คาดคิด การวิเคราะห์ไฟล์บันทึกเป็นตลาดที่มีการแข่งขันสูงและปัญหายังไม่ได้รับการแก้ไข แต่มีเครื่องมือฟรีเช่น logwatch ซึ่งสามารถกำหนดค่าให้ส่งข้อมูลสรุปให้คุณทุกวัน

ความปลอดภัยผ่านเลเยอร์!

ลืม Tripwire มันแพงไปหน่อย ใช้ AIDE แทน ฟรีติดตั้งง่าย (แม้ว่าจะใช้เวลาสักครู่ในการตัดสินใจว่าจะรวมไดเรกทอรีชั่วคราวหรือกำหนดค่าอื่นไว้)

คุณเรียกใช้มันสร้างฐานข้อมูลของไฟล์ทั้งหมด เรียกใช้อีกครั้งและจะแจ้งให้คุณทราบว่าไฟล์ใดมีการเปลี่ยนแปลง

อีกสิ่งหนึ่งที่ต้องทำคือติดตั้ง CSF ซึ่งมีตัวบล็อกประเภท denyhost เนื่องจากผู้คนล้มเหลวในการเข้าสู่ระบบซ้ำ ๆ มันจะเพิ่มไปยังกฎไฟร์วอลล์ของคุณ นอกจากนี้คุณยังสามารถกำหนดให้การเข้าสู่ระบบ SSH จะต้องมีกุญแจสาธารณะเช่นกัน kiddies สคริปต์สามารถพยายามเข้าสู่ระบบได้มากเท่าที่ต้องการ

"* ... determine if my Linux box has been infiltrated?"

• มองหาสัญญาณของกระบวนการแปลก ๆ ปกติฉันจะใช้เครื่องมือที่มาพร้อมกับ chkrootkit ( http://www.chkrootkit.org )
• ทำพอร์ตสแกนด้วย nmap จากเครื่องอื่น หากกล่องของคุณถูกบุกรุกโอกาสที่ผู้โจมตีจะติดตั้งลับๆ

"* ... เลิกทำดาเมจใด ๆ ที่ผู้กระทำผิดทิ้งไว้?"

ลืมมันถ้ามีการโจมตีคำแนะนำที่ดีที่สุดคือการติดตั้งใหม่ตั้งแต่เริ่มต้น มันง่ายมากที่จะไม่สังเกตเห็นแบ็คดอร์หรือกระบวนการซ่อนตัวคุณจะดีกว่าการติดตั้งใหม่

"* ... ป้องกันไม่ให้สิ่งนี้เกิดขึ้นในอนาคตหรือไม่"

• อัปเดตความปลอดภัย

• ไฟร์วอลล์แน่น

• รหัสผ่านที่แข็งแกร่ง

• ปิดบริการที่ไม่จำเป็น

ดูที่เครื่องมือเช่นlogcheck , portsentryและTripwire เป็นเรื่องปกติมากสำหรับการสุ่มพจนานุกรม SSH พยายามดังนั้นฉันจะไม่กังวลเกินไป คุณอาจต้องการเปลี่ยนพอร์ตสำหรับการทำให้งงงวยแบบสุ่ม แต่คุณจะยังคงเห็นความพยายามสุ่มเป็นครั้งคราวมันเป็นชีวิตที่มีเครื่องบนอินเทอร์เน็ต

สิ่งหนึ่งที่ผมใช้งานบนเซิร์ฟเวอร์ของฉันที่จะช่วยป้องกันการโจมตีเหล่านี้เป็นDenyHosts DenyHosts จะหยุดผู้ใช้ที่เป็นอันตรายจากการพยายามเข้าสู่ระบบ ตั้งแต่ติดตั้งไฟล์บันทึกของฉันมีรายการพยายามเข้าสู่ระบบน้อยลงมาก

เป็นวิธีปฏิบัติที่ดีในการใช้คู่คีย์สาธารณะ / ส่วนตัวเพื่อรับรองความถูกต้องเป็นพิเศษ วิธีนี้ทำให้ผู้ใช้ไม่สามารถลงชื่อเข้าใช้ผ่าน SSH ได้หากไม่มีคีย์ที่ถูกต้อง ซึ่งคงเป็นไปไม่ได้เลยที่จะเดาว่าเป็นนักล่าสัตว์เดรัจฉาน บทความดีเกี่ยวกับเรื่องนี้สามารถพบได้ที่นี่

สิ่งนี้เพียงอย่างเดียวที่มีข้อความรหัสผ่านจะค่อนข้างมั่นคงสำหรับการตรวจสอบความถูกต้องของ SSH แต่มีช่องโหว่มากกว่า! ระวังแอพพลิเคชั่นทั้งหมดที่ใช้พอร์ตเปิด หากพวกเขามีข้อผิดพลาดที่อาจนำระบบของคุณ ตัวอย่างที่ดีคือบอทสแปมที่ติดตั้งบนเซิร์ฟเวอร์ของเราเนื่องจากข้อผิดพลาดในซอฟต์แวร์ webstats ที่เราใช้อยู่ในปัจจุบัน

Fail2ban เป็นเครื่องมือวิเคราะห์เรียลไทม์ของบันทึกการเข้าถึง สามารถกำหนดค่าให้บล็อก IP ใด ๆ ที่มีความพยายามล้มเหลวในการเข้าสู่ระบบจำนวนมากซึ่งจะช่วยป้องกันการโจมตีพจนานุกรมโดยไม่ต้องย้ายพอร์ต ssh chkrootkit และ rootkithunter เป็นเครื่องมือที่ดีในการตรวจสอบการบุกรุก หากการบุกรุกประสบความสำเร็จแนวปฏิบัติที่ดีที่สุดคือการคัดลอกข้อมูล (และเป็นข้อมูลไม่ใช่ปฏิบัติการ) ให้เช็ดและติดตั้งใหม่เพราะมันยากจริง ๆ ที่จะแน่ใจได้ 100% ว่าระบบสะอาด

ไม่มีอะไรที่นี่เพื่อแนะนำว่ากล่องของคุณถูกโจมตี แม้ว่ารหัสผ่านของคุณจะค่อนข้างอ่อนแอการโจมตีด้วยพจนานุกรมที่พยายามเข้าสู่ระบบเพียงครั้งเดียวในแต่ละชื่อผู้ใช้นั้นไม่น่าจะประสบความสำเร็จอย่างมาก

แต่ถ้าคุณรู้ว่ารหัสผ่านของคุณอ่อนแอให้เพิ่มความแข็งแกร่งให้พวกเขา! โดยส่วนตัวแล้วฉันชอบpwgen (ซึ่งจัดทำโดย Debian) ในการวิ่งแต่ละครั้งมันจะสร้างรหัสผ่านที่แข็งแกร่ง แต่มีรหัสผ่านที่ค่อนข้างยากซึ่งสำหรับฉันอย่างน้อยก็จำได้ง่ายเช่น yodieCh1, Tai2daci หรือ Chohcah9

อย่างไรก็ตามหากมีหลักฐานอื่นที่แสดงว่าระบบของคุณถูกบุกรุก ... Nuke จากวงโคจร เป็นวิธีเดียวที่จะมั่นใจได้

ข้อมูลที่ไม่สามารถเรียกใช้งานได้นั้นอาจกู้ได้ แต่สิ่งใดก็ตามที่มีเนื้อหาที่ปฏิบัติการได้ (สิ่งนี้อาจรวมถึงสิ่งต่าง ๆ เช่นเอกสาร MS Office และไฟล์การกำหนดค่าบางอย่าง) ได้ไปถ้าคุณไม่เต็มใจและสามารถตรวจสอบด้วยตนเองได้ ไม่เป็นศัตรูหรือยอมรับความเป็นไปได้ที่อาจเป็นศัตรูและสร้างความเสียหายให้กับระบบของคุณหรือจัดหาช่องทางสำหรับการประนีประนอมในอนาคตหากคุณเก็บไว้ใกล้เคียง

การป้องกันเพิ่มเติมเล็กน้อยที่ฉันชอบคือการ จำกัด อัตราการเชื่อมต่อ ssh ขาเข้าเพื่อชะลอการโจมตีของพจนานุกรมหรือคล้ายกัน อย่าคาดหวังว่าสิ่งนี้จะปกป้องคุณด้วยตัวเอง แต่ให้ใช้สิ่งนี้เพิ่มเติมจากคำแนะนำในคำตอบอื่น ๆ รวมถึงการปิดใช้งานการตรวจสอบรหัสผ่าน

ใช้ iptables:

$ iptables        -A INPUT      -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ iptables        -A INPUT      -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
$ iptables        -A INPUT      -p tcp --dport 22 -j DROP

มีคำแนะนำที่ไม่ดีเกี่ยวกับหัวข้อนี้เช่น:

• ใช้พอร์ตที่ไม่ได้มาตรฐานสำหรับ ssh (ผิด!)
• ใช้เครื่องมือความปลอดภัยของบุคคลที่สาม (เพิ่มการพึ่งพา / ความซับซ้อนที่ไม่จำเป็น)
• การกำหนดค่าไฟร์วอลล์ของคุณเพื่อบล็อกหรือรายการที่อนุญาต (การบำรุงรักษาปวดหัว)

เพียงแค่ปรับแต่ง/etc/ssh/sshd_configแทนเพื่อปรับปรุงความปลอดภัย:

• PermitRootLogin no
• กำหนดค่าAllowUsersสำหรับผู้ใช้ในระบบที่มีบัญชี ssh เท่านั้น
• พิจารณาใช้ปุ่มทางกายภาพเท่านั้นโดยใช้ 'รหัสผ่านการยืนยันไม่มี'

หากคุณเป็นกล่องถูกแทรกซึม สร้างกล่องใหม่

จะเกิดขึ้นตลอดเวลาเมื่อเปิดใช้งาน ssh ย้ายไปที่พอร์ตสูง

มีโปรแกรมชื่อ "Tripwire" ที่ยอดเยี่ยมสำหรับการตรวจจับการบุกรุก แต่ติดตั้งได้ยาก หากไม่มีอะไรอื่นคุณควรอ่านเอกสารของพวกเขาเพื่อให้คุณเข้าใจปัญหา

คุณต้องติดตั้งระบบตรวจจับการบุกรุกก่อนที่จะต่อเครื่องเข้ากับอินเทอร์เน็ต

และเป็นความคิดที่ดีสำหรับการเชื่อมต่อ IP ที่อนุญาตพิเศษ IP เพื่อให้แน่ใจว่าโลกทั้งใบไม่สามารถลองสิ่งนั้นได้

ฉันจะทราบได้อย่างไรว่ากล่อง Linux ของฉันถูกแทรกซึม

บู๊ตสื่อแบบอ่านอย่างเดียว (livecd) และเปรียบเทียบไฟล์กับข้อมูลสำรองของคุณหรือสื่อต้นฉบับ

แค่มองไปรอบ ๆ เพื่อหาพฤติกรรมแปลก ๆ แน่นอนว่านี่เป็นวิธีที่ง่ายที่สุดถ้าคุณใช้เวลาก่อนที่แฮ็คจะได้รับความรู้สึกที่ดีของสิ่งที่ 'ปกติ'

ข้อผิดพลาดที่คุณโพสต์ไม่ได้ระบุถึงการประนีประนอม แค่มีคนกำลังพยายาม

ฉันจะยกเลิกความเสียหายใด ๆ ที่ผู้กระทำผิดได้ทำไว้ได้อย่างไร?

ติดตั้งและกู้คืนจากการสำรองข้อมูลก่อนที่ระบบจะถูกบุกรุก

ดู:

• /server/6159/aftermath-of-hack
• ติดตั้งใหม่หลังจากการประนีประนอมราก?

ฉันจะป้องกันไม่ให้สิ่งนี้เกิดขึ้นในอนาคตได้อย่างไร

ดู:

• ป้องกันการโจมตีด้วยกำลังดุร้ายกับ ssh หรือไม่?
• การเข้าสู่ระบบ ssh ล้มเหลวหลายร้อยรายการ
• เซิร์ฟเวอร์ Ubuntu SSH
• คุณทำตามขั้นตอนอะไรเพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ Debian

คุณสามารถดูกล่องเพื่อดูว่ามีอะไรเข้าและออกและมองหาสิ่งที่น่าสงสัย ดูโพสต์นี้: /programming/124745/sniffing-network-traffic-for-signs-of-virusesspyware

Psadควบคู่ไปกับShorewallเป็นวิธีที่ดีในการชื่นชมกฎ iptables ของคุณ

ฉันยังใช้Fail2banเพื่อติดตามการเข้าสู่ระบบของฉัน

ใช้ rkhunter หรือ chkrootkit หรือทั้งสองอย่าง สแกนกล่องของคุณจากด้านนอกเพื่อดูพอร์ตที่เปิดอยู่

อย่างไรก็ตามหากคุณมีผู้ใช้ที่ไม่ถูกต้องไม่จำเป็นต้องกังวล :)

สิ่งที่แตกต่างกันมาก: ลองใช้Googleบนที่อยู่ IP! แฮ็กเกอร์ที่เรียกตัวเองว่าSTARTURKจากตุรกีอาจพยายามแฮ็คเว็บไซต์ของคุณ

ในขณะที่ดูเหมือนว่าการโจมตีแบบดุร้ายกับระบบของคุณอาจเป็นไปได้ว่าแฮ็กเกอร์นี้เพิ่งลองครั้งเดียวและไปที่ไซต์อื่นแล้ว

ดังที่หลายคนระบุไว้ Tripwire / AIDE เป็นวิธีที่ดีที่สุดในการค้นหาการเปลี่ยนแปลงระบบ น่าเสียดายที่วัวนั้นออกนอกโรงนาไปแล้วเพราะมันจะต้องถูกปรับแต่งในระบบที่ดี

สิ่งหนึ่งที่อาจช่วยให้คุณเริ่มต้นได้อย่างน้อยก็คือใช้ฐานข้อมูล RPM ของคุณเพื่อตรวจสอบ md5sums ของไฟล์ของคุณ ส่วนสำคัญพื้นฐานคือ:

rpm -qa | xargs rpm -V

สิ่งนี้ไม่สมบูรณ์แบบด้วยเหตุผลหลายประการ ก่อนอื่นฐานข้อมูล RPM ในพื้นที่ของคุณอาจมีการเปลี่ยนแปลงทางทฤษฎี ประการที่สอง distros ส่วนใหญ่ใช้การโหลดล่วงหน้าและ RPM ไม่ได้รับการแจ้งล่วงหน้า MD5 อาจปรากฏว่ามีการเปลี่ยนแปลงจากกระบวนการดังกล่าวซึ่งเป็นสิ่งที่ถูกต้อง

คำแนะนำที่ดีที่สุดคือ: ถ้าคุณไม่แน่ใจว่าคุณถูกบุกรุกหรือยัง

เพื่อป้องกันปัญหาด้านความปลอดภัยในอนาคตคุณสามารถดูOSSECได้ฉันใช้เพื่อทำการตรวจสอบความสมบูรณ์ของไฟล์และการตรวจสอบบันทึกบนเซิร์ฟเวอร์ของเรามันสมบูรณ์และง่ายต่อการกำหนดค่า มันสามารถส่งจดหมายแจ้งเตือนคุณสามารถตรวจสอบการแจ้งเตือนผ่านทางบรรทัดคำสั่งหรือเว็บอินเตอร์เฟส ...

http://www.ossec.net/

นำมาจากเว็บไซต์:

"OSSEC เป็นระบบตรวจจับการบุกรุกบนพื้นฐานของโอเพ่นซอร์สซึ่งจะทำการวิเคราะห์บันทึกการตรวจสอบความสมบูรณ์ของไฟล์การตรวจสอบนโยบายการตรวจจับรูตคิตต์การแจ้งเตือนแบบเรียลไทม์

• การวิเคราะห์บันทึกมันสามารถตรวจสอบไฟล์บันทึกบนเซิร์ฟเวอร์ของคุณและแจ้งเตือนคุณผ่านกฎ (มีจำนวนมากที่กำหนดไว้ล่วงหน้าและคุณสามารถเพิ่มของคุณเอง)

• ความสมบูรณ์ของไฟล์ tripwire / aide เช่น functionnality ดังนั้นคุณจะเห็นว่ามีการแก้ไขไฟล์ใด ๆ บนเซิร์ฟเวอร์ของคุณหรือไม่

• การตรวจสอบนโยบาย: ตรวจสอบกฎความปลอดภัย "แนวทางปฏิบัติที่ดีที่สุด"

• การตรวจสอบรูตคิต: rkhunter, chkrootkit เช่น functionnality

• การแจ้งเตือนแบบเรียลไทม์และการตอบสนองที่ใช้งานอยู่: คุณสามารถกำหนดค่า ossec เพื่อตอบสนองต่อการแจ้งเตือนโดยอัตโนมัติ (ฉันไม่ได้ใช้สิ่งนี้ แต่คุณสามารถใช้มันเพื่อบล็อกการเข้าถึง ssh ไปยังโฮสต์ได้

ผลิตภัณฑ์ที่ดีจริง ๆ และมีการใช้งานมาก

เพื่อทำให้กล่องแข็งขึ้นคุณสามารถใช้lynisหรือbastille ได้

• http://www.rootkit.nl/projects/lynis.html

• http://bastille-linux.sourceforge.net/