Які основні кроки виконує криміналістичний аналіз linux box після його злому?
Скажімо, це універсальна пошта / веб-сервер для linux / база даних / ftp / ssh / samba. І він почав надсилати спам, сканувати інші системи .. Як почати пошук шляхів зламу і хто несе відповідальність?
Відповіді:
Ось, що можна спробувати перед перезавантаженням:
Перш за все, якщо ви думаєте, що вас можуть зіпсувати, відключіть мережевий кабель, щоб машина не могла завдати подальшої шкоди.
Тоді, якщо можливо, утримайтеся від перезавантаження , стільки слідів зловмисника можна видалити шляхом повторного завантаження.
Якщо ви заздалегідь задумалися і у вас був віддалений журнал , використовуйте свої віддалені журнали, а не ті, які є на машині, оскільки комусь надто просто підробляти журнали на машині. Але якщо у вас немає віддалених журналів, ретельно вивчіть локальні.
Перевірте dmesg , оскільки це також буде замінено при перезавантаженні.
У Linux можливо мати запущені програми - навіть після видалення запущеного файлу. Перевірте їх за допомогою командного файлу / proc / [0-9] * / exe | grep "(видалено)" . (вони, звичайно, зникають при перезавантаженні). Якщо ви хочете зберегти копію запущеної програми на диску, використовуйте / bin / dd, якщо = / proc / ім'я файлу / exe = ім'я файлу
Якщо вам відомі хороші копії того, хто / ps / ls / netstat, використовуйте ці інструменти, щоб вивчити, що відбувається в коробці. Зауважте, що якщо встановлено руткіт , ці утиліти зазвичай замінюються копіями, які не дають точної інформації.
Це повністю залежить від того, що було зламано, але загалом,
Перевірте часові позначки файлів, які були неправильно змінені, і перехресне посилання на них із успішним ssh (in / var / log / auth *) та ftp (in / var / log / vsftp *, якщо ви використовуєте vsftp як сервер) на з’ясуйте, який обліковий запис було порушено і з якого IP-адреси прийшла атака.
Напевно, ви можете дізнатися, чи був цей рахунок жорстоким, якщо на цьому ж рахунку було багато невдалих спроб входу. Якщо для цього облікового запису не було або лише кілька невдалих спроб входу, можливо, пароль був виявлений іншими способами, і власник цього облікового запису потребує лекції про безпеку пароля.
Якщо IP-адреса десь поруч, це може бути "внутрішня робота"
Якби корінний обліковий запис був порушений, звичайно, у вас виникли великі проблеми, і я, якщо можливо, переформатую і відновити поле з нуля. Звичайно, ви все одно повинні змінити всі паролі.
Ви повинні перевірити всі журнали запущених програм. Наприклад, журнали Apache можуть розповісти, як хакер міг виконувати довільні команди у вашій системі.
Також перевірте, чи є у вас запущені процеси, які сканують сервери або надсилають спам. Якщо це так, користувач Unix, від якого вони запущені, може розповісти, як зламали вашу скриньку. Якщо це www-data, то ви знаєте, що це Apache тощо.
Майте на увазі, що іноді деякі програми на зразок psзамінюються ...
Нааа!
Вам слід вимкнути, підключити жорсткий диск до інтерфейсу лише для читання (це спеціальний IDE або SATA, або USB тощо) ... інтерфейс, який не дозволяє писати щось подібне: http: //www.forensic- computers.com/handBridges.php ) і виконати точну обробку з DD.
Ви можете зробити це на іншому жорсткому диску, або ви можете зробити це на зображенні диска.
Потім, зберігайте в більш професійному та абсолютно безпечному місці цей жорсткий диск - це оригінальний доказ без будь-яких підробок!
Пізніше ви можете підключити цей клонований диск чи зображення у свій криміналістичний комп'ютер. Якщо це диск, слід підключити його через інтерфейс лише для читання, а якщо ви будете працювати з зображенням, встановіть його "лише для читання".
Потім ви можете працювати над цим, знову і знову, не змінюючи жодних даних ...
FYI, в Інтернеті є зображення "зламаних" систем для практики, тож ви можете робити криміналістику "вдома" ...
PS: Що з злому системи? якщо я думаю, що ця система порушена, я б не залишав її підключеною, я би поставив там новий жорсткий диск і відновив би резервну копію або поставив новий сервер у виробництво до завершення криміналістики ...
Візьміть дамп пам'яті та проаналізуйте його за допомогою інструменту криміналістики пам’яті, такого як Second Look .
Спершу слід запитати себе: "Чому?"
Ось кілька причин, які мають для мене сенс:
Виходити за рамки цього часто не має сенсу. Поліція часто байдуже, і якби вони це зробили, вони затримають ваше обладнання та зроблять власний криміналістичний аналіз.
Залежно від того, що ви дізнаєтесь, ви можете зробити життя набагато простішим. Якщо ретранслятор SMTP стає порушеним, і ви визначите, що це було пов’язано з відсутнім патчем, експлуатованим стороною стороною, ви закінчите. Перевстановіть коробку, закріпіть все, що потрібно для виправлення, і рухайтеся далі.
Часто, коли слово "криміналістика" виховується, люди мають уявлення про ІСС і замислюються над тим, щоб з'ясувати всілякі сумні деталі щодо того, що сталося. Це може бути так, але не варто робити це величезним підйомом, якщо вам цього не потрібно.
Я настійно рекомендую прочитати " Мертві машини Linux розповідають казки ", статтю Інституту ДАНС. Це з 2003 року, але інформація досі є цінною.