Дізнайтеся, як зламався сервер

Я просто переглядав сайт і виявив таке запитання: Мій сервер зламали ВИПУСКУ . В основному питання говорить: Мій сервер був зламаний. Що я повинен зробити?

Найкращою відповіддю відмінно , але виникли деякі питання , на мій погляд. Одним із запропонованих кроків є:

Вивчіть "атаковані" системи, щоб зрозуміти, яким чином атаки вдалося пошкодити вашу безпеку. Докладіть усіх зусиль, щоб з’ясувати, звідки "прийшли" атаки, щоб ви зрозуміли, які проблеми у вас є і потрібно вирішити, щоб забезпечити безпеку вашої системи в майбутньому.

Я не робив жодної роботи системного адміністратора, тому я не маю уявлення, як би я почав це робити. Що було б першим кроком? Я знаю, що ви можете шукати файли журналу сервера, але як зловмисник перше, що я зробив би - це помилка файлів журналів. Як би ви «зрозуміли», як напади вдалися?

Почну з цього, якщо у вас немає ФАЙЛІВ ЛОГІВ , то є достатньо хороший шанс, що ви НІКОЛИ не зрозумієте, де або як вдалася атака. Навіть з повноцінними та належними файлами журналів може бути надзвичайно важко зрозуміти повністю, хто, що, де, коли, чому і як.

Отже, знаючи, наскільки важливі файли журналів, ви починаєте розуміти, наскільки безпечно їх зберігати. Ось чому компанії роблять і повинні вкладати кошти в безпеку та управління подіями або SIEM коротко.

Коротше кажучи, співвіднесення всіх ваших файлів журналу з конкретними подіями (залежно від часу чи іншим чином) може бути надзвичайно складним завданням. Просто подивіться на свої системи брандмауера в режимі налагодження, якщо ви мені не вірите. І це тільки з одного приладу! Процес SIEM перетворює ці файли журналів у ряд логічних подій, завдяки чому з'ясування того, що сталося, набагато простіше зрозуміти.

Щоб почати краще розуміти, як, корисно вивчити методики проникнення .

Також корисно знати, як пишеться вірус . Або як написати руткіт .

Це також може бути надзвичайно корисним для встановлення та вивчення медового горщика .

Це також допомагає проаналізувати журнал журналу та стати досвідченим .

Корисно зібрати базову лінію для вашої мережі та систем. Що таке "нормальний" трафік у вашій ситуації та "ненормальний" рух?

CERT має чудовий посібник про те, що робити після злому комп'ютера, особливо це стосується конкретного питання (розділ "Аналіз вторгнення":

• Шукайте зміни, внесені до системного програмного забезпечення та файлів конфігурації
• Шукайте модифікації даних
• Шукайте інструменти та дані, які залишив зловмисник
• Перегляньте файли журналів
• Шукайте ознаки мережевого sniffer
• Перевірте інші системи у вашій мережі
• Перевірте, чи є системи, задіяні або постраждалі на віддалених сайтах

Є багато питань, подібних до ваших, які вам задали в SF:

1. Як зробити посмертний вирив сервера
2. Дивні елементи у файлі хостів та Netstat
3. це спроба злому?
4. Як я можу навчитися Linux з точки зору злому або безпеки

Це може бути надзвичайно суперечливим та залученим процесом. Більшість людей, включаючи мене, просто взяли б на роботу консультанта, якби він брав участь більше, ніж те, що мої прилади SIEM можуть скласти разом.

І, мабуть, якщо ви коли-небудь хочете ПОЛІТКО зрозуміти, як були зламані ваші системи, вам доведеться витратити роки на їх вивчення та відмовитись від жінок.

Відповідь на те, що один маленький шматочок може бути шириною і високою мільйон миль, і відтискання того, що сталося зі зламаним сервером, може бути майже формою мистецтва, як і будь-що інше, тому я ще раз наведу початкові точки та приклади, а не остаточний набір кроків, які слід виконати.

Потрібно пам’ятати, що після того, як ви зіткнулися з вторгненням, ви можете перевірити свій код, системне адміністрування / конфігурацію та процедури, знаючи, що там безумовно є слабкість. Це допомагає стимулювати мотивацію більше, ніж пошук теоретичної слабкості, яка може бути, а може і не бути. Досить часто люди розміщують речі в Інтернеті, знаючи, що код можна було б перевірити трохи важче, якби ми мали час; або система зафіксувалась трохи міцніше, якщо тільки це не було так незручно; або процедури зробили трохи жорсткішими, коли б бос не запам’ятав довгі паролі. Ми всі знаємо, де наші найімовірніші слабкі місця, тому почніть з них.

В ідеальному світі у вас будуть журнали, що зберігаються на іншому (сподіваюсь, не порушеному) сервері системного журналу , не тільки з серверів, але з будь-яких брандмауерів, маршрутизаторів тощо, які також реєструють трафік. Також є такі інструменти, як Nessus, які можуть аналізувати систему та шукати слабкі місця.

Для програмного забезпечення / фреймворків від третіх сторін часто існують посібники з найкращих практик, які ви можете використовувати для аудиту розгортання, або ви можете приділити більше уваги новинам безпеки та графікам виправлення, а також виявити деякі отвори, які могли бути використані.

Нарешті, більшість нападів все-таки залишають спонсор ... якщо у вас є час і терпіння, щоб знайти його. "Вторгнення" вторгнення дітей у скрипт або вторгнення за допомогою наборів інструментів для злому, як правило, зосереджуються на загальних слабких місцях і можуть залишити шаблон, який спрямовує вас у правильному напрямку. Найскладнішим для аналізу може бути вторгнення, спрямоване вручну (наприклад, хтось не хотів зламати "веб-сайт", а натомість хотів зламати "ваш" веб-сайт), і це, звичайно, найважливіші речі для розуміння.

Для того, хто насправді не знає, з чого почати (або навіть для досвідчених людей, які мають інші обов'язки), перший крок - це, мабуть, найняти когось із хорошим досвідом вищезазначених кроків. Ще одна перевага цього підходу полягає в тому, що вони будуть дивитись на вашу установку без будь-яких заздалегідь задуманих уявлень чи особистої участі у відповідях.

"Я знаю, що ви можете шукати файли журналу сервера, але як зловмисник перше, що я би зробив, - це помилка файлів журналу."

Залежно від типу компромісу, зловмисник може не мати достатньо високих привілеїв на компрометованому сервері, щоб мати змогу стерти журнали. Також найкраще застосовувати журнали серверів, які зберігаються поза іншим сервером, для запобігання фальсифікації (експортується автоматично в певні проміжки часу).

Поза компрометованими журналами серверів все ще існують журнали мереж (брандмауер, маршрутизатор тощо), а також журнали аутентифікації з служби каталогів, якщо такі є (Active Directory, RADIUS, ect)

Тож перегляд журналів все ще є однією з найкращих речей, які можна зробити.

Маючи справу зі скомпрометованим ящиком, просіювання журналів - це завжди один з моїх головних способів з’єднати те, що трапилось.

-Джош