Назад | Перейти на главную страницу

Каковы основные шаги судебно-медицинской экспертизы Linux-бокса после его взлома?

Каковы основные шаги судебно-медицинской экспертизы Linux-бокса после его взлома?

Допустим, это общий Linux-сервер mail / web / database / ftp / ssh / samba. И он начал рассылать спам, сканировать другие системы ... Как начать поиск способов взлома и кто за это отвечает?

Вот что нужно попробовать перед перезагрузкой:

Прежде всего, если вы думаете, что вас могут скомпрометировать отключите сетевой кабель чтобы машина не могла нанести дальнейший ущерб.

Тогда, если возможно воздерживаться от перезагрузки, так как многие следы проникновения злоумышленника можно удалить перезагрузкой.

Если бы вы думали наперед и имели удаленное ведение журнала на месте используйте свои удаленные журналы, а не те, которые есть на машине, так как кто-то слишком легко может изменить журналы на машине. Но если у вас нет удаленных журналов, внимательно изучите локальные.

Проверьте dmesg, так как он также будет заменен при перезагрузке.

В Linux можно иметь запущенные программы - даже после того, как запущенный файл был удален. Проверьте это с помощью команды файл / proc / [0-9] * / exe | grep "(удален)". (они, конечно, исчезают при перезагрузке). Если вы хотите сохранить копию работающей программы на диск, используйте / bin / dd если = / proc /имя файла/ exe из =имя файла

Если у вас есть известные хорошие копии who / ps / ls / netstat, используйте эти инструменты, чтобы изучить, что происходит на коробке. Обратите внимание, что если руткит была установлена, эти утилиты обычно заменяются копиями, которые не дают точной информации.

Это полностью зависит от того, что было взломано, но в целом

Проверьте временные метки файлов, которые были изменены ненадлежащим образом, и сверьте это время с успешными ssh (в / var / log / auth *) и ftp (в / var / log / vsftp *, если вы используете vsftp в качестве сервера), чтобы узнать, какая учетная запись была взломана и с какого IP произошла атака.

Вероятно, вы сможете узнать, была ли учетная запись взломана, если было много неудачных попыток входа в одну и ту же учетную запись. Если для этой учетной записи не было или было всего несколько неудачных попыток входа в систему, то, вероятно, пароль был обнаружен каким-то другим способом, и владельцу этой учетной записи нужна лекция по безопасности паролей.

Если IP откуда-то поблизости, это может быть "внутренняя работа"

Если учетная запись root была скомпрометирована, конечно, у вас большие проблемы, и я бы, если возможно, переформатировал и восстановил коробку с нуля. Конечно, вы все равно должны изменить все пароли.

Вы должны проверить все логи запущенных приложений. Например, журналы Apache могут рассказать вам, как хакер может выполнять произвольные команды в вашей системе.

Также проверьте, запущены ли у вас процессы, сканирующие серверы или рассылающие спам. Если это так, пользователь Unix, от которого они работают, может сказать вам, как ваш компьютер был взломан. Если это www-данные, то вы знаете, что это Apache и т. Д.

Имейте в виду, что иногда некоторые программы, например ps заменены ...

Неаа!

Вы должны выключить, подключить жесткий диск к интерфейсу только для чтения (это специальный интерфейс IDE или SATA, или USB и т. Д., Который не допускает записи, что-то вроде этого: http://www.forensic-computers.com/handBridges.php ) и сделайте точный обман с DD.

Вы можете сделать это с другим жестким диском или с образом диска.

Затем храните в удобном и полностью безопасном месте этот жесткий диск, который является подлинным доказательством без какого-либо вмешательства!

Позже вы можете подключить этот клонированный диск или образ на свой компьютер. Если это диск, вы должны подключить его через интерфейс только для чтения, а если вы собираетесь работать с образом, смонтируйте его «только для чтения».

Затем вы можете работать с ним снова и снова, не меняя никаких данных ...

К вашему сведению, в Интернете есть образы "взломанных" систем для практики, так что вы можете проводить экспертизу "дома" ...

PS: А как насчет сбитой взломанной системы? если я думаю, что эта система скомпрометирована, я бы не оставил ее подключенной, я бы поместил туда новый жесткий диск и восстановил резервную копию или запустил новый сервер в производство, пока не закончится криминалистика ...

Взять дамп памяти и проанализировать его с помощью инструмента судебной экспертизы памяти, например Второй взгляд.

Вы должны сначала спросить себя: «Почему?»

Вот несколько причин, которые мне понятны:

  • Оценить ущерб
  • Выясните, как они попали в
  • Определите, была ли это внутренняя работа

Выходить за рамки этого часто не имеет смысла. Полиции часто безразлично, а в противном случае они конфисковали бы ваше оборудование и провели свою собственную судебно-медицинскую экспертизу.

В зависимости от того, что вы узнаете, вы сможете значительно облегчить себе жизнь. Если ретранслятор SMTP скомпрометирован, и вы определили, что это произошло из-за отсутствия исправления, использованного внешней стороной, все готово. Переустановите коробку, залатайте все, что нужно исправить, и двигайтесь дальше.

Часто, когда упоминается слово «криминалистика», люди видят CSI и думают о том, чтобы выяснить всевозможные мучительные подробности того, что произошло. Это может быть так, но не делайте этого, если вам не нужно.

Я не читал другие ответы, но я бы сделал его призрачное изображение, чтобы сохранить доказательства и исследовать только изображение .... может быть ...

Я очень рекомендую прочитать "Мертвые машины с Linux рассказывают сказки", статья Института SANS. Она написана в 2003 году, но информация по-прежнему ценна сегодня.