ขั้นตอนหลักในการวิเคราะห์ทางนิติเวชของกล่อง linux หลังจากถูกแฮ็กคืออะไร


15

ขั้นตอนหลักในการวิเคราะห์ทางนิติเวชของกล่อง linux หลังจากถูกแฮ็กคืออะไร

ให้บอกว่าเป็นจดหมายเซิร์ฟเวอร์ Linux / เว็บ / ฐานข้อมูล / ftp / ssh / samba และมันก็เริ่มส่งสแปมสแกนระบบอื่น ๆ .. จะเริ่มค้นหาวิธีการแฮ็คได้อย่างไรและใครเป็นผู้รับผิดชอบ?

คำตอบ:


11

ต่อไปนี้เป็นสิ่งที่ควรลองก่อนรีบูตเครื่อง:

ก่อนอื่นถ้าคุณคิดว่าคุณอาจถูกถอดสายเคเบิลเครือข่ายของคุณเพื่อให้เครื่องไม่สามารถทำความเสียหายเพิ่มเติมได้

จากนั้นหากเป็นไปได้ให้ละเว้นจากการรีบูตเครื่องร่องรอยของผู้บุกรุกสามารถลบออกได้โดยการบู๊ตใหม่

หากคุณคิดล่วงหน้าและมีการลงชื่อเข้าใช้จากระยะไกลให้ใช้บันทึกระยะไกลของคุณไม่ใช่บันทึกบนเครื่องเนื่องจากทุกคนง่ายเกินไปที่จะยุ่งเกี่ยวกับบันทึกในเครื่อง แต่ถ้าคุณไม่มีบันทึกระยะไกลให้ตรวจสอบบันทึกในเครื่องอย่างละเอียด

ตรวจสอบdmesgเช่นนี้จะถูกแทนที่เมื่อรีบูตเช่นกัน

ใน linux มีความเป็นไปได้ที่จะใช้งานโปรแกรม - แม้หลังจากไฟล์ที่กำลังทำงานถูกลบไปแล้ว ตรวจสอบเหล่านี้กับคำสั่งของไฟล์ / proc / [0-9] * / exe | grep "(ลบ)" (สิ่งเหล่านี้หายไปเมื่อรีบูตแน่นอน) หากคุณต้องการบันทึกสำเนาของโปรแกรมที่กำลังทำงานอยู่ในดิสก์ให้ใช้/ bin / dd if = / proc / filename / exe of = filename

หากคุณรู้จักสำเนาที่ดีของใคร / ps / ls / netstat ใช้เครื่องมือเหล่านี้เพื่อตรวจสอบสิ่งที่เกิดขึ้นในกล่อง โปรดทราบว่าหากติดตั้งรูทคิทยูทิลิตี้เหล่านี้มักจะถูกแทนที่ด้วยสำเนาที่จะไม่ให้ข้อมูลที่ถูกต้อง


ปัญหาคือวิธีค้นหาว่าสำเนา ps / ls / ... ของคุณดีหรือไม่ คุณสามารถตรวจสอบ md5sum ของพวกเขา แต่จากนั้นอีกครั้ง md5sum อาจถูกแทนที่ด้วยเช่นกัน
2552

2
ฉันเก็บสำเนาที่สำคัญของไฟล์สำคัญเหล่านั้น (และ md5sum) พร้อมกับ md5sums ของต้นฉบับในทุกระบบของเรา จากนั้นฉันก็มี nagios ตรวจสอบ md5sums ด้วยตนเองทุกชั่วโมง
Brent

8

ทั้งหมดนั้นขึ้นอยู่กับสิ่งที่ถูกแฮ็ก แต่โดยทั่วไปแล้ว

ตรวจสอบการประทับเวลาของไฟล์ที่แก้ไขอย่างไม่เหมาะสมและอ้างอิงข้ามช่วงเวลาเหล่านั้นด้วย ssh ที่ประสบความสำเร็จ (ใน / var / log / auth *) และ ftp (ใน / var / log / vsftp * หากคุณใช้ vsftp เป็นเซิร์ฟเวอร์) ค้นหาว่าบัญชีใดถูกบุกรุกและจากการโจมตีของ IP

คุณอาจทราบได้ว่าบัญชีดังกล่าวถูกบังคับโดยไม่มีเหตุผลหากมีการพยายามลงชื่อเข้าใช้ไม่สำเร็จในบัญชีเดียวกัน หากไม่มีความพยายามในการเข้าสู่ระบบที่ล้มเหลวเพียงไม่กี่ครั้งสำหรับบัญชีนั้นอาจมีการค้นพบรหัสผ่านด้วยวิธีอื่นและเจ้าของบัญชีนั้นต้องการการบรรยายเรื่องความปลอดภัยของรหัสผ่าน

หาก IP มาจากที่อื่นที่อยู่ใกล้เคียงอาจเป็น "งานใน"

หากบัญชีรูทถูกบุกรุกแน่นอนว่าคุณมีปัญหาใหญ่และถ้าเป็นไปได้ฉันควรฟอร์แมตใหม่และสร้างกล่องขึ้นมาใหม่ แน่นอนคุณควรเปลี่ยนรหัสผ่านทั้งหมดอย่างไรก็ตาม


2

คุณต้องตรวจสอบบันทึกการใช้งานทั้งหมด ตัวอย่างเช่นบันทึก Apache อาจบอกคุณว่าแฮ็กเกอร์สามารถรันคำสั่งโดยพลการในระบบของคุณได้อย่างไร

ตรวจสอบว่าคุณใช้กระบวนการที่สแกนเซิร์ฟเวอร์หรือส่งสแปมหรือไม่ หากเป็นเช่นนั้นผู้ใช้ Unix ที่ทำงานอยู่สามารถบอกคุณได้ว่ากล่องของคุณถูกแฮ็ค หากเป็นข้อมูล www แล้วคุณจะรู้ว่าเป็น Apache เป็นต้น

โปรดทราบว่าบางครั้งโปรแกรมบางโปรแกรมเช่นpsนั้นจะถูกแทนที่ ...


1

Naaah!

คุณควรปิดการเชื่อมต่อฮาร์ดดิสก์เข้ากับส่วนต่อประสานแบบอ่านอย่างเดียว (เป็น IDE หรือ SATA พิเศษหรือ USB ฯลฯ ) ส่วนต่อประสานที่ไม่อนุญาตให้มีการเขียนใด ๆ สิ่งนี้: http: //www.forensic- Computers.com/handBridges.php ) และทำ dupe ที่แน่นอนด้วย DD

คุณสามารถทำได้กับฮาร์ดไดรฟ์อื่นหรือคุณอาจทำกับดิสก์อิมเมจ

จากนั้นจัดเก็บไว้ในที่ที่ปลอดภัยและมีความปลอดภัยสูงซึ่งฮาร์ดดิสก์เป็นหลักฐานดั้งเดิมโดยไม่ต้องยุ่งเกี่ยว!

หลังจากนั้นคุณสามารถเสียบดิสก์ที่ลอกแบบหรือภาพในคอมพิวเตอร์นิติวิทยาศาสตร์ของคุณ หากเป็นดิสก์คุณควรเสียบผ่านส่วนต่อประสานแบบอ่านอย่างเดียวและหากคุณกำลังจะทำงานกับรูปภาพให้เมานต์เป็น 'อ่านอย่างเดียว'

จากนั้นคุณสามารถทำงานได้ซ้ำแล้วซ้ำอีกโดยไม่ต้องเปลี่ยนข้อมูลใด ๆ ...

FYI, มีภาพระบบ "แฮ็ก" บนอินเทอร์เน็ตเพื่อการฝึกฝนดังนั้นคุณสามารถทำนิติเวช "ที่บ้าน" ...

PS: สิ่งที่เกี่ยวกับระบบแฮ็คลงมา? หากฉันคิดว่าระบบนั้นถูกบุกรุกฉันจะไม่ปล่อยให้มันเชื่อมต่อฉันจะวางฮาร์ดไดรฟ์ใหม่ที่นั่นและกู้คืนข้อมูลสำรองหรือนำเซิร์ฟเวอร์ใหม่มาใช้ในการผลิตจนกว่านิติจะเสร็จสิ้น ...



0

คุณควรถามตัวเองก่อนว่า "ทำไม"

นี่คือเหตุผลบางอย่างที่ทำให้ฉัน:

  • ประเมินความเสียหาย
  • คิดว่าพวกเขาเข้ามาได้อย่างไร
  • ตรวจสอบว่ามันเป็นงานที่อยู่ภายใน

เกินกว่าที่มักจะไม่สมเหตุสมผล ตำรวจมักจะไม่สนใจและถ้าพวกเขาทำพวกเขาจะยึดฮาร์ดแวร์ของคุณและทำการวิเคราะห์ทางนิติวิทยาศาสตร์ของตัวเอง

คุณอาจทำให้ชีวิตของคุณง่ายขึ้นทั้งนี้ขึ้นอยู่กับสิ่งที่คุณค้นพบ หากการส่งต่อ SMTP ได้รับอันตรายและคุณตรวจสอบว่าเป็นเพราะแพตช์ที่ขาดหายไปที่ถูกเอารัดเอาเปรียบโดยบุคคลภายนอกแสดงว่าคุณทำเสร็จแล้ว ติดตั้งกล่องใหม่แก้ไขสิ่งที่จำเป็นต้องได้รับการแก้ไขและดำเนินการต่อ

บ่อยครั้งที่คำว่า "นิติเวช" ถูกนำขึ้นมาผู้คนมีวิสัยทัศน์ของ CSI และคิดเกี่ยวกับการหารายละเอียดที่น่าตื่นเต้นทุกชนิดเกี่ยวกับสิ่งที่เกิดขึ้น อาจเป็นไปได้ แต่อย่าทำให้มันเป็นลิฟต์ขนาดใหญ่ถ้าคุณไม่ต้องทำ


มันเป็นนโยบายของนายจ้างที่จะตรวจสอบ
Kazimieras Aliulis

จากจุดดูแลระบบในมุมมองของนิติไม่เกี่ยวกับโทษหรือประเด็นทางกฎหมาย แต่เกี่ยวกับปะและความปลอดภัยที่ดีกว่า
เบรนท์

0

ฉันไม่ได้อ่านคำตอบอื่น ๆ แต่ฉันจะสร้างภาพผีเพื่อรักษาหลักฐานและตรวจสอบภาพเท่านั้น .... อาจจะ ...


โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.