Выяснение того, как был взломан взломанный сервер

Я начну с этого, если у вас есть НЕТ ФАЙЛОВ ЖУРНАЛОВ, то велика вероятность, что вы НИКОГДА понять, где и как атака удалась. Даже с полными и правильными файлами журналов может быть чрезвычайно сложно полностью понять, кто, что, где, когда, почему и как.

Итак, зная, насколько важны файлы журналов, вы начинаете понимать, насколько безопасно их хранить. Вот почему компании делают и должны инвестировать в Информация о безопасности и управление событиями или сокращенно SIEM.

Вкратце, сопоставление всех ваших файлов журналов с конкретными событиями (основанными на времени или иными) может быть чрезвычайно сложной задачей. Просто взгляните на системные журналы вашего брандмауэра в режиме отладки, если вы мне не верите. И это всего лишь от одного прибора! Процесс SIEM помещает эти файлы журнала в серию логических событий, что упрощает понимание того, что произошло.

Чтобы лучше понять, как это сделать, полезно изучить методологии проникновения.

Также полезно знать, как вирус написано. Или как написать руткит.

Также может быть чрезвычайно полезно настроить и изучить горшок меда.

Также полезно иметь анализатор журнала и стать опытный с этим.

Полезно собрать основу для вашей сети и систем. Какой в ​​вашей ситуации "нормальный" трафик и "ненормальный" трафик?

CERT имеет отличное руководство о том, что делать после взлома вашего компьютера, в первую очередь (который имеет прямое отношение к вашему конкретному вопросу) раздел «Анализ вторжения»:

• Ищите изменения, внесенные в системное программное обеспечение и файлы конфигурации
• Ищите изменения в данных
• Ищите инструменты и данные, оставленные злоумышленником
• Просмотр файлов журнала
• Ищите признаки сетевого сниффера
• Проверьте другие системы в вашей сети
• Проверьте задействованные или затронутые системы на удаленных объектах

Есть много вопросов, похожих на ваш, которые были заданы по SF:

1. Как провести вскрытие взлома сервера
2. Странные элементы в файле Hosts и Netstat
3. это попытка взлома?
4. Как я могу изучить Linux с точки зрения взлома или безопасности

Это может быть чрезвычайно запутанный и сложный процесс. Большинство людей, в том числе и я, просто наняли бы консультанта, если бы он был вовлечен больше, чем могли бы мои SIEM-устройства.

И, видимо, если захочешь В ПОЛНОЙ МЕРЕ понять, как были взломаны ваши системы, придется потратить лет изучая их и откажитесь от женщин.

Ответ на этот маленький кусочек может быть в миллион миль шириной и высотой, и раскрытие того, что случилось с взломанным сервером, может быть почти такой же формой искусства, как и все остальное, поэтому я снова дам отправные точки и примеры, а не окончательный набор. шагов, которым нужно следовать.

Следует иметь в виду, что, столкнувшись со вторжением, вы можете проводить аудит своего кода, системного администрирования / конфигурации и процедур, зная, что в этом определенно есть слабые места. Это помогает стимулировать мотивацию больше, чем поиск теоретической слабости, которой может быть, а может и нет. Довольно часто люди выкладывают что-то в онлайн, зная, что код можно было бы проверить немного сложнее, если бы у нас было время; или система заблокирована чуть более жестко, лишь бы это было не так неудобно; или процедуры стали более жесткими, лишь бы босс не беспокоился о том, чтобы запоминать длинные пароли. Мы все знаем, где наши наиболее вероятные слабые места, поэтому начните с них.

В идеальном мире у вас будут журналы, хранящиеся на другом (надеюсь, не скомпрометированном) системный журнал сервер, не только с серверов, но и с любых межсетевых экранов, маршрутизаторов и т. д., которые также регистрируют трафик. Также есть такие инструменты, как Несс доступны, которые могут анализировать систему и искать слабые места.

Для программного обеспечения / фреймворков от третьих сторон часто есть руководства по передовой практике, которые вы можете использовать для аудита своего развертывания, или вы можете уделять больше внимания новостям безопасности и графикам исправлений и обнаруживать некоторые дыры, которые могли быть использованы.

Наконец, большинство вторжений оставляет след ... если у вас есть время и терпение, чтобы его найти. «Двигайтесь мимо» скриптовые вторжения или взломы с использованием наборов хакерских инструментов, как правило, сосредотачиваются на общих слабых местах и ​​могут оставить шаблон, который указывает вам правильное направление. Самым трудным для анализа может быть ручное вторжение (например, кто-то не хотел взломать «веб-сайт», а вместо этого хотел взломать именно «ваш» веб-сайт), и это, конечно, самые важные вещи, которые нужно понять.

Для того, кто действительно не знает, с чего начать (или даже для опытных людей, у которых есть другие обязанности), первым шагом будет, вероятно, нанять кого-то с хорошим опытом выполнения вышеуказанных шагов. Еще одним преимуществом такого подхода является то, что они будут смотреть на вашу установку без каких-либо предвзятых мнений или личной заинтересованности в ответах.

«Я знаю, что вы можете заглянуть в файлы журнала сервера, но, как злоумышленник, первое, что я сделаю, это исправлю файлы журнала».

В зависимости от типа взлома злоумышленник может не иметь достаточно высоких прав на взломанном сервере, чтобы иметь возможность стирать журналы. Также рекомендуется хранить журналы сервера отдельно на другом сервере, чтобы предотвратить вмешательство (автоматически экспортируется через определенные промежутки времени).

Помимо журналов скомпрометированного сервера, есть сетевые журналы (брандмауэр, маршрутизатор и т. Д.), А также журналы аутентификации из службы каталогов, если таковая имеется (Active Directory, RADIUS и т. Д.)

Так что просмотр журналов по-прежнему остается одной из лучших вещей, которые можно сделать.

При работе со скомпрометированным ящиком просмотр журналов всегда является одним из моих основных способов собрать воедино то, что произошло.

-Джош