11 votos

Encontrar la manera de una hackeado el servidor fue hackeado

Yo estaba navegando a través de la web y encontré esta pregunta: Mi servidor ha sido hackeado de EMERGENCIA. Básicamente, la pregunta dice: Mi servidor ha sido hackeado. ¿Qué debo hacer?

La mejor respuesta es excelente, pero que plantea algunas preguntas en mi mente. Uno de los pasos sugeridos son:

Examinar los 'atacó' a los sistemas de entender cómo los ataques de éxito en poner en peligro su seguridad. Hacer todos los esfuerzos para encontrar donde esta el los ataques de "vino de", de modo que entender cuáles son los problemas que tienen y necesidad de abordar para hacer que su sistema seguro en el futuro.

Yo no he hecho nada del sistema de administración del trabajo así que no tengo idea de cómo iba a empezar a hacer esto. Lo que sería el primer paso? Sé que usted podría buscar en los archivos de registro del servidor, pero como a un atacante la primera cosa que haría sería errasing los archivos de registro. ¿Cómo podría "entender" cómo los ataques de éxito?

11voto

GregD Puntos 7867

Voy a empezar diciendo que este, si tiene los ARCHIVOS de REGISTRO NO, entonces no es una razonablemente buena posibilidad de que usted NUNCA entender de dónde o cómo el ataque tuvo éxito. Incluso con un completo y adecuado de los archivos de registro, puede ser extremadamente difícil de comprender plenamente, el quién, qué, dónde, cuándo, por qué y cómo.

Así que, sabiendo lo importante que son los archivos de registro, usted comenzará a entender cuán seguro de que usted tiene que mantener. Que es por qué las empresas hacen y deberían invertir en la Seguridad de la Información Y la Gestión de Eventos o SIEM para el corto.

SIEM

En pocas palabras, la correlación de todos los archivos de registro en eventos específicos (basados en el tiempo o de otro tipo) puede ser una muy difícil tarea. Basta con echar un vistazo en el firewall del sistema en modo de depuración si no me creen. Y eso es sólo de un aparato! SIEM proceso pone estos archivos de registro en una serie de eventos lógicos que hace de averiguar lo que pasó, mucho más fácil de entender.

Para empezar a tener una mejor comprensión de la forma, es útil para el estudio de la penetración de las metodologías.

También es útil saber cómo un virus que está escrito. O cómo escribir un rootkit.

También puede ser muy beneficioso para la instalación y estudio de un honeypot.

También ayuda a tener un analizador de registro y ser competente con ella.

Es útil para recopilar una base de referencia para la red y los sistemas. Lo que es "normal" tráfico en su situación frente a la "anormal" de tráfico?

CERT tiene una excelente guía sobre qué hacer después de que su equipo ha sido hackeado, más en particular (que pertenecen directamente a su pregunta específica) la sección sobre "Analizar la intrusión":

  • Aspecto de las modificaciones realizadas al software del sistema y archivos de configuración
  • Buscar modificaciones de los datos
  • Buscar herramientas y los datos dejados por el intruso
  • Revisión de archivos de registro
  • Buscar signos de un rastreador de red
  • Compruebe la disponibilidad de otros sistemas en la red
  • Verificación de los sistemas involucrados o afectados en sitios remotos

Hay muchas preguntas similares a la tuya que se han hecho en SF:

  1. Cómo hacer un post-mortem de un servidor de hack
  2. Extraño los Elementos en el Archivo de Hosts y Netstat
  3. es este un intento de hack?
  4. ¿Cómo puedo aprender Linux de la piratería o el punto de vista de seguridad

Esto puede ser extremadamente complicado y el proceso en cuestión. La mayoría de la gente, yo incluido, acaba de contratar a un asesor, si lo tengo más complicado que lo que mi SIEM aparatos podría poner juntos.

Y, al parecer, si usted quiere nunca COMPLETAMENTE a entender cómo sus sistemas fueron hackeados, usted tiene que pasar años de estudio y dar a la mujer.

2voto

Ilari Kajaste Puntos 989

La respuesta a que uno poco puede ser un millón de millas de ancho y de alto, y deshacer lo que le sucedió a un servidor hackeado puede ser casi una forma de arte tanto como cualquier otra cosa, así que de nuevo os voy a dar puntos de partida y ejemplos, en vez de un conjunto definitivo de los pasos a seguir.

Una cosa a tener en cuenta es que una vez que se han enfrentado a una intrusión puede auditar el código, de sus sistemas de administración/configuración y procedimientos con el conocimiento de que definitivamente hay una debilidad que hay. Que ayuda a impulsar la motivación más que la búsqueda de un teórico de la debilidad que pueden o no estar allí. Muy a menudo la gente pone cosas en línea, sabiendo que el código podría haber sido auditados un poco más difícil, si sólo tuviéramos el tiempo; o el sistema bloqueado un poco más de firmeza, si sólo no era tan incómodo; o procedimientos que se hayan puesto un poco más apretada, si sólo no era una molestia para el jefe de recordar contraseñas largas. Todos sabemos donde nuestros más probable es que los puntos débiles son, a fin de comenzar con aquellos.

En un mundo ideal, usted tendrá registros almacenados en una diferente (espero que no comprometida) syslog server, no sólo de los servidores, sino de cualquier firewalls, routers, etc, que también registra el tráfico. También hay herramientas como Nessus disponible que puede analizar un sistema y buscan los puntos débiles.

Para el software/framworks de terceros, a menudo hay guías de mejores prácticas que puede utilizar para auditar su implementación, o usted puede prestar más atención a las noticias de seguridad y la aplicación de parches horarios y descubrir algunos de los agujeros que podrían haber sido utilizadas.

Por último, la mayoría de las intrusiones deje un rastro... si usted tiene el tiempo y la paciencia para encontrarlo. "Drive by" script kiddie intrusiones o romper ins utilizando kits de herramientas de hacking tienden a centrarse en las deficiencias comunes y pueden dejar un patrón de puntos en la dirección correcta. La cosa más difícil de analizar puede ser un manual dirigido intrusión (por ejemplo, alguien no quiere hackear "un" sitio web, pero en lugar de eso quería hackear "su" sitio web específicamente), y estos, por supuesto, son las cosas más importantes para entender.

Para alguien que realmente no sabe por dónde empezar (o incluso de la experiencia de las personas que tienen otras tareas) el primer paso es probablemente contratar a alguien con buena experiencia de los pasos anteriores. Otra ventaja de este enfoque es que ellos estarán buscando en su instalación sin ningún tipo de prejuicios o intereses personales en las respuestas.

1voto

Josh Brower Puntos 1231

"Yo sé que usted podría buscar en los archivos de registro del servidor, pero como a un atacante la primera cosa que haría sería errasing los archivos de registro."

Dependiendo del tipo de compromiso, el atacante puede no tener suficientemente altos privilegios en el servidor vulnerable a ser capaz de borrar los registros. También es la mejor práctica para tener los registros del servidor mantiene offbox en otro servidor, para evitar la manipulación (exportado automáticamente en determinados intervalos de tiempo).

Más allá del peligro de los registros del Servidor, todavía hay redes registros (Firewall, Router, etc) así como la autenticación de los registros del servicio de directorio, si es que la hay (Active Directory, RADIO, ect)

Así que mirando los registros es todavía una de las mejores cosas que se pueden hacer.

Cuando se trata de un peligro cuadro, tamizar a través de los registros es siempre uno de mis principales formas de unir lo que pasó.

-Josh

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: