Як зробити посмертний вирив сервера


29

У мене встановлена ​​машина Windows Server 2003 SP2 з IIS6, SQL Server 2005, MySQL 5 та PHP 4.3. Це не виробнича машина, але вона піддається впливу світу за допомогою доменного імені. На комп'ютері ввімкнено віддалений робочий стіл, на ньому активні два адміністративних акаунта.

Сьогодні вранці я виявив, що автомат вийшов із іменем невідомого користувача, який все ще знаходиться у текстовому полі для входу. Після подальшого розслідування я виявив, що було створено два користувачі Windows, антивірус було видалено, а на C: накопичувач було скинуто .exe-файли.

Що я хотів би знати, - які кроки слід зробити, щоб переконатися, що це не повториться, і на яких ділянках слід зосередитись, щоб визначити проспект в'їзду. Я вже перевірив netstat -a, щоб побачити, які порти відкриті, і нічого там не дивно. Я знайшов у папці даних для MySQL невідомі файли, які, на мою думку, могли бути точкою входу, але я не впевнений.

Я б дуже вдячний за кроки, щоб провести хороший посмертний злом сервера, щоб уникнути цього в майбутньому.

Огляд після розслідування

Після деякого розслідування, я думаю, я дізнався, що сталося. По-перше, машина не була в Інтернеті протягом періоду серпня '08 до жовтня '09. За цей час було виявлено вразливість безпеки, вразливість MS08-067 . "Це віддалене вразливість виконання коду. Зловмисник, який успішно користувався цією вразливістю, міг віддалено контролювати постраждалу систему. У системах Microsoft Windows 2000, на базі Windows XP та Windows Server 2003 зловмисник може використовувати ця вразливість через RPC без аутентифікації і може запустити довільний код. " Цю вулейкість було зафіксовано оновленням безпеки KB958644, яке вийшло у жовтні 2008 року.

Оскільки машина в той час була в автономному режимі і пропустила це оновлення, я вважаю, що ця вразливість була використана незабаром після повернення машини в Інтернет у жовтні 09 року. Я знайшов посилання на програму bycnboy.exe, яку описали як задню програму, яка потім створює сильний хаос для зараженої системи. Незабаром після того, як машина з'явилася в Інтернеті, автоматичні оновлення встановили патч, який вимикав можливість дистанційного керування системою. Оскільки задні двері були закриті, я вважаю, що зловмисник тоді створив фізичні рахунки на машині і зміг використовувати машину ще тиждень, поки я не помітив, що відбувається.

Після агресивного очищення шкідливого коду, .exes та .dlls, видалення веб-сайтів та облікових записів користувачів, що перебувають у власних хостингах, машина знову знаходиться в робочому стані. Найближчим часом я буду контролювати систему та перевіряти журнали сервера, щоб визначити, чи повторюється інцидент.

Дякуємо за надану інформацію та кроки.

Відповіді:


28

Робити посмертне - це чорне мистецтво саме по собі. Щоразу це трохи інакше, тому що насправді немає двох злам однакових. Зважаючи на це, нижче наведено основний огляд мого рекомендованого процесу з кількома конкретними примітками до вашої ситуації:

  1. Фізично відключіть машину від мережі. (Дійсно. Зробіть це зараз.)
  2. Необов’язковий крок: Зробіть копію бінарного зображення жорсткого диска для подальшого використання.
  3. Зробіть копію всіх файлів журналу, цінних даних тощо на знімному жорсткому диску
    • За бажанням скопіюйте будь-які «хакерські інструменти», які ви також знайдете
  4. Почніть власне посмертне. У вашому випадку:
    • Зверніть увагу на будь-які нові або відсутні облікові записи користувачів. Подивіться, чи є в їх домашніх папках якийсь "цікавий" вміст.
    • Зверніть увагу на будь-які нові або відсутні програми / файли даних / файли даних.
    • Спершу перевірте журнали MySQL - шукайте що-небудь "незвичне"
    • Перевірте решта журналів сервера. Подивіться, чи можете ви знайти нових створених користувачів, адреси, з яких вони увійшли, тощо.
    • Шукайте докази пошкодження даних або крадіжок
  5. Коли ви знайдете причину проблеми, зверніть увагу, як не допустити її повторення.
  6. Протріть сервер чистим: відформатуйте та перевстановіть усе, відновіть свої дані та підключіть оригінальний отвір із замітками №5.

Зазвичай ви виконуєте крок 2, якщо ви збираєтесь залучати правоохоронні органи. Ви виконуєте Крок 3, щоб ви могли переглянути інформацію після відновлення сервера, не потребуючи зчитування копії зображень, зробленої на кроці 2.

Наскільки детальний крок 4 залежить від ваших цілей: просто забивання отвору - це інший вид розслідування, ніж відстеження того, хто вкрав цінний біт даних :)

Крок 6 є критичним для ІМХО. Ви не "виправляєте" скомпрометований хост: ви стираєте його і починаєте спочатку з відомого хорошого стану. Це гарантує, що ви не пропустите якийсь самородок, який залишився на коробці, як бомбочка.

Це аж ніяк не повний післясмертовий контур. Я позначаю це як вікі спільноти, оскільки я завжди шукаю вдосконалення процесу - не використовую його часто :-)


3
У мене немає досвіду робити щось подібне, але порада Мавпи з безпеки, якщо ви збираєтеся зобразити машину для дослідження - це витягнути шнур живлення, зобразити жорсткий диск, а потім розпочати розслідування. (Мавпа безпеки: it.toolbox.com/blogs/securitymonkey )
MattB

1
Мавпа безпеки - увімкнена. Ви хочете заморозити машину холодно (витягніть шнур живлення), коли переходите до зображення. вимкнення та / або запуск може відключити саморуйнування або очищення коду, і, зачіпаючи потужність, заважає цього не статися, перш ніж ви зможете зробити своє зображення.
voretaq7

2
Крім того - я б сказав, що вам не слід довіряти результатам команд "вбудованих" в зламаній системі, таких як netstat (або dir тощо). Знову ж таки, я не маю прямого досвіду з цим на рівні підприємства, але пам’ятаю, що зламали на особистих машинах, де частиною злому була заміна вбудованих інструментів, щоб замаскувати те, що відбувається насправді.
MattB

4
+1 крок 6 життєво важливий, ви не знаєте, чи netstat показує вам правду, не аналізуючи власне мережевий трафік - і що саме по собі може бути досить складним і перевірити терпіння ... тож витріть його. Це вже не ваша коробка. Проаналізуйте зображення все, що завгодно, але витріть прокляту машину;)
Оскар Дувеборн

1
Я б сказав, що вам, мабуть, краще робити крок №2 кожен раз, оскільки ви не зовсім впевнені, що знайдете під час розслідування. Наявність бінарних зображень також означає, що у вас можуть бути різні люди, які дивляться на різні речі, використовуючи кожну копію.
Ватін
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.