ขั้นตอนหลักในการวิเคราะห์ทางนิติเวชของกล่อง linux หลังจากถูกแฮ็กคืออะไร
ให้บอกว่าเป็นจดหมายเซิร์ฟเวอร์ Linux / เว็บ / ฐานข้อมูล / ftp / ssh / samba และมันก็เริ่มส่งสแปมสแกนระบบอื่น ๆ .. จะเริ่มค้นหาวิธีการแฮ็คได้อย่างไรและใครเป็นผู้รับผิดชอบ?
ขั้นตอนหลักในการวิเคราะห์ทางนิติเวชของกล่อง linux หลังจากถูกแฮ็กคืออะไร
ให้บอกว่าเป็นจดหมายเซิร์ฟเวอร์ Linux / เว็บ / ฐานข้อมูล / ftp / ssh / samba และมันก็เริ่มส่งสแปมสแกนระบบอื่น ๆ .. จะเริ่มค้นหาวิธีการแฮ็คได้อย่างไรและใครเป็นผู้รับผิดชอบ?
คำตอบ:
ต่อไปนี้เป็นสิ่งที่ควรลองก่อนรีบูตเครื่อง:
ก่อนอื่นถ้าคุณคิดว่าคุณอาจถูกถอดสายเคเบิลเครือข่ายของคุณเพื่อให้เครื่องไม่สามารถทำความเสียหายเพิ่มเติมได้
จากนั้นหากเป็นไปได้ให้ละเว้นจากการรีบูตเครื่องร่องรอยของผู้บุกรุกสามารถลบออกได้โดยการบู๊ตใหม่
หากคุณคิดล่วงหน้าและมีการลงชื่อเข้าใช้จากระยะไกลให้ใช้บันทึกระยะไกลของคุณไม่ใช่บันทึกบนเครื่องเนื่องจากทุกคนง่ายเกินไปที่จะยุ่งเกี่ยวกับบันทึกในเครื่อง แต่ถ้าคุณไม่มีบันทึกระยะไกลให้ตรวจสอบบันทึกในเครื่องอย่างละเอียด
ตรวจสอบdmesgเช่นนี้จะถูกแทนที่เมื่อรีบูตเช่นกัน
ใน linux มีความเป็นไปได้ที่จะใช้งานโปรแกรม - แม้หลังจากไฟล์ที่กำลังทำงานถูกลบไปแล้ว ตรวจสอบเหล่านี้กับคำสั่งของไฟล์ / proc / [0-9] * / exe | grep "(ลบ)" (สิ่งเหล่านี้หายไปเมื่อรีบูตแน่นอน) หากคุณต้องการบันทึกสำเนาของโปรแกรมที่กำลังทำงานอยู่ในดิสก์ให้ใช้/ bin / dd if = / proc / filename / exe of = filename
หากคุณรู้จักสำเนาที่ดีของใคร / ps / ls / netstat ใช้เครื่องมือเหล่านี้เพื่อตรวจสอบสิ่งที่เกิดขึ้นในกล่อง โปรดทราบว่าหากติดตั้งรูทคิทยูทิลิตี้เหล่านี้มักจะถูกแทนที่ด้วยสำเนาที่จะไม่ให้ข้อมูลที่ถูกต้อง
ทั้งหมดนั้นขึ้นอยู่กับสิ่งที่ถูกแฮ็ก แต่โดยทั่วไปแล้ว
ตรวจสอบการประทับเวลาของไฟล์ที่แก้ไขอย่างไม่เหมาะสมและอ้างอิงข้ามช่วงเวลาเหล่านั้นด้วย ssh ที่ประสบความสำเร็จ (ใน / var / log / auth *) และ ftp (ใน / var / log / vsftp * หากคุณใช้ vsftp เป็นเซิร์ฟเวอร์) ค้นหาว่าบัญชีใดถูกบุกรุกและจากการโจมตีของ IP
คุณอาจทราบได้ว่าบัญชีดังกล่าวถูกบังคับโดยไม่มีเหตุผลหากมีการพยายามลงชื่อเข้าใช้ไม่สำเร็จในบัญชีเดียวกัน หากไม่มีความพยายามในการเข้าสู่ระบบที่ล้มเหลวเพียงไม่กี่ครั้งสำหรับบัญชีนั้นอาจมีการค้นพบรหัสผ่านด้วยวิธีอื่นและเจ้าของบัญชีนั้นต้องการการบรรยายเรื่องความปลอดภัยของรหัสผ่าน
หาก IP มาจากที่อื่นที่อยู่ใกล้เคียงอาจเป็น "งานใน"
หากบัญชีรูทถูกบุกรุกแน่นอนว่าคุณมีปัญหาใหญ่และถ้าเป็นไปได้ฉันควรฟอร์แมตใหม่และสร้างกล่องขึ้นมาใหม่ แน่นอนคุณควรเปลี่ยนรหัสผ่านทั้งหมดอย่างไรก็ตาม
คุณต้องตรวจสอบบันทึกการใช้งานทั้งหมด ตัวอย่างเช่นบันทึก Apache อาจบอกคุณว่าแฮ็กเกอร์สามารถรันคำสั่งโดยพลการในระบบของคุณได้อย่างไร
ตรวจสอบว่าคุณใช้กระบวนการที่สแกนเซิร์ฟเวอร์หรือส่งสแปมหรือไม่ หากเป็นเช่นนั้นผู้ใช้ Unix ที่ทำงานอยู่สามารถบอกคุณได้ว่ากล่องของคุณถูกแฮ็ค หากเป็นข้อมูล www แล้วคุณจะรู้ว่าเป็น Apache เป็นต้น
โปรดทราบว่าบางครั้งโปรแกรมบางโปรแกรมเช่นps
นั้นจะถูกแทนที่ ...
Naaah!
คุณควรปิดการเชื่อมต่อฮาร์ดดิสก์เข้ากับส่วนต่อประสานแบบอ่านอย่างเดียว (เป็น IDE หรือ SATA พิเศษหรือ USB ฯลฯ ) ส่วนต่อประสานที่ไม่อนุญาตให้มีการเขียนใด ๆ สิ่งนี้: http: //www.forensic- Computers.com/handBridges.php ) และทำ dupe ที่แน่นอนด้วย DD
คุณสามารถทำได้กับฮาร์ดไดรฟ์อื่นหรือคุณอาจทำกับดิสก์อิมเมจ
จากนั้นจัดเก็บไว้ในที่ที่ปลอดภัยและมีความปลอดภัยสูงซึ่งฮาร์ดดิสก์เป็นหลักฐานดั้งเดิมโดยไม่ต้องยุ่งเกี่ยว!
หลังจากนั้นคุณสามารถเสียบดิสก์ที่ลอกแบบหรือภาพในคอมพิวเตอร์นิติวิทยาศาสตร์ของคุณ หากเป็นดิสก์คุณควรเสียบผ่านส่วนต่อประสานแบบอ่านอย่างเดียวและหากคุณกำลังจะทำงานกับรูปภาพให้เมานต์เป็น 'อ่านอย่างเดียว'
จากนั้นคุณสามารถทำงานได้ซ้ำแล้วซ้ำอีกโดยไม่ต้องเปลี่ยนข้อมูลใด ๆ ...
FYI, มีภาพระบบ "แฮ็ก" บนอินเทอร์เน็ตเพื่อการฝึกฝนดังนั้นคุณสามารถทำนิติเวช "ที่บ้าน" ...
PS: สิ่งที่เกี่ยวกับระบบแฮ็คลงมา? หากฉันคิดว่าระบบนั้นถูกบุกรุกฉันจะไม่ปล่อยให้มันเชื่อมต่อฉันจะวางฮาร์ดไดรฟ์ใหม่ที่นั่นและกู้คืนข้อมูลสำรองหรือนำเซิร์ฟเวอร์ใหม่มาใช้ในการผลิตจนกว่านิติจะเสร็จสิ้น ...
ใช้เวลาการถ่ายโอนข้อมูลหน่วยความจำและการวิเคราะห์ด้วยเครื่องมือนิติหน่วยความจำเช่นสองดู
คุณควรถามตัวเองก่อนว่า "ทำไม"
นี่คือเหตุผลบางอย่างที่ทำให้ฉัน:
เกินกว่าที่มักจะไม่สมเหตุสมผล ตำรวจมักจะไม่สนใจและถ้าพวกเขาทำพวกเขาจะยึดฮาร์ดแวร์ของคุณและทำการวิเคราะห์ทางนิติวิทยาศาสตร์ของตัวเอง
คุณอาจทำให้ชีวิตของคุณง่ายขึ้นทั้งนี้ขึ้นอยู่กับสิ่งที่คุณค้นพบ หากการส่งต่อ SMTP ได้รับอันตรายและคุณตรวจสอบว่าเป็นเพราะแพตช์ที่ขาดหายไปที่ถูกเอารัดเอาเปรียบโดยบุคคลภายนอกแสดงว่าคุณทำเสร็จแล้ว ติดตั้งกล่องใหม่แก้ไขสิ่งที่จำเป็นต้องได้รับการแก้ไขและดำเนินการต่อ
บ่อยครั้งที่คำว่า "นิติเวช" ถูกนำขึ้นมาผู้คนมีวิสัยทัศน์ของ CSI และคิดเกี่ยวกับการหารายละเอียดที่น่าตื่นเต้นทุกชนิดเกี่ยวกับสิ่งที่เกิดขึ้น อาจเป็นไปได้ แต่อย่าทำให้มันเป็นลิฟต์ขนาดใหญ่ถ้าคุณไม่ต้องทำ
ฉันไม่ได้อ่านคำตอบอื่น ๆ แต่ฉันจะสร้างภาพผีเพื่อรักษาหลักฐานและตรวจสอบภาพเท่านั้น .... อาจจะ ...
ฉันขอแนะนำให้อ่าน " Dead Linux Machines Do Tell Tales " บทความจาก The SANS Institute มันมาจากปี 2003 แต่ข้อมูลยังคงมีค่าในปัจจุบัน