597 votos

¿Cómo lidiar con un servidor vulnerable?

Este es un Canónica Pregunta acerca de la Seguridad del Servidor, Respondiendo a la Violación de los Eventos (Hacking)
Vea También:

Versión Canónica
Tengo la sospecha de que uno o más de mis servidores se ve comprometida por un hacker, virus, o cualquier otro mecanismo:

  • ¿Cuáles son mis primeros pasos? Cuando llego en el sitio debo desconectar el servidor, preservar la "evidencia", hay otras consideraciones iniciales?
  • ¿Cómo ir sobre cómo obtener servicios en línea?
  • ¿Cómo puedo evitar que lo mismo suceda inmediatamente de nuevo?
  • Hay de mejores prácticas o metodologías para el aprendizaje de este incidente?
  • Si yo quería poner un Plan de Respuesta a Incidentes juntos, ¿por dónde empiezo? Debería ser parte de mi Recuperación de Desastres o planes de Continuidad de Negocio?

Versión Original

2011.01.02 - estoy en mi camino al trabajo a las 9: 30 pm de un domingo debido a que nuestro servidor se ha visto comprometida de alguna manera, y fue lo que resulta en un DOS ataque a nuestro proveedor. Los servidores de acceso a Internet se ha cerrado lo que significa que más 5-600 de nuestros sitios de los clientes son ahora abajo. Ahora esto podría ser un FTP hack, o alguna debilidad en el código en algún lugar. No estoy seguro de hasta que yo llegue.

¿Cómo puedo hacer el seguimiento de este hacia abajo rápidamente? Estamos en un montón de el litigio si no obtengo el servidor de copia de seguridad lo antes posible. Cualquier ayuda es apreciado. Estamos ejecutando Open SUSE 11.0.


2011.01.03 - Gracias a todos por su ayuda. Por suerte yo NO ERA la única persona responsable de este servidor, sólo el más cercano. Hemos conseguido para resolver este problema, a pesar de que no puede aplicarse a muchos otros en una situación diferente. Voy a detalle lo que hicimos.

Hemos desconectado el servidor de la red. Fue la realización de (intentar realizar un ataque de Denegación De Servicio en otro servidor en Indonesia, y el culpable fue también sede allí.

En primer lugar se trató de identificar en el servidor de esta venía, teniendo en cuenta que tiene más de 500 lugares en el servidor, se espera que se el pluriempleo durante algún tiempo. Sin embargo, con el acceso SSH aún así, nos encontramos con una comando para encontrar todos los archivos modificados o creados en el momento de los ataques empezado. Por suerte, el infractor archivo fue creado durante el invierno los días de fiesta que significaba que no muchas otras se han creado archivos en el servidor en ese momento.

Entonces éramos capaces de identificar el archivo que se ofende que estaba dentro de la las imágenes de la carpeta dentro de un ZenCart sitio web.

Después de un corto cigarro llegamos a la conclusión de que, debido a los archivos ubicación, debe de haber sido subido a través de la carga de un archivo de la instalación que fue inadequetly asegurado. Después de buscar un poco en google, se encontró que no era una vulnerabilidad de seguridad que permitió la carga de archivos, dentro de la ZenCart panel de administración, para una imagen de una compañía discográfica. (La sección que en realidad nunca incluso se utiliza), la publicación de esta forma acaba de cargar cualquier archivo, no comprobar la extensión del archivo, y ni siquiera compruebe para ver si el usuario ha iniciado sesión.

Esto significaba que los archivos pueden ser subidos, incluyendo un archivo PHP para el ataque. Hemos garantizado la vulnerabilidad con ZenCart en el infectado sitio, y eliminado los archivos no deseados.

El trabajo estaba hecho, y yo estaba en casa para las 2 de la mañana


La Moral - Siempre aplicar los parches de seguridad para ZenCart, o cualquier otro CMS sistema para el caso. Como cuando las actualizaciones de seguridad son liberados, todo el mundo está consciente de la vulnerabilidad. - Siempre hacer copias de seguridad y copias de seguridad las copias de seguridad. - Emplear o hacer arreglos para que alguien que va a estar allí en tiempos como estos. Para evitar que alguien de confiar en una panicy post en el Servidor La culpa.

202voto

blueben Puntos 2377

Suena como que están ligeramente por encima de su cabeza; eso está bien. Llame a su jefe y empezar a negociar para una emergencia de respuesta de seguridad de presupuesto. $10,000 podrían ser un buen lugar para empezar. Entonces usted necesita para obtener a alguien (un PFY, un compañero de trabajo, un administrador) para empezar a llamar a las empresas que se especializan en respuesta a incidentes de seguridad. Muchos pueden responder en el plazo de 24 horas, y a veces incluso más rápido si tienen una oficina en tu ciudad.

Usted también necesita a alguien para la priorización de los clientes; sin Duda, alguien que ya es. Alguien debe de estar en el teléfono con ellos para explicar lo que está pasando, qué se está haciendo para controlar la situación, y para responder a sus preguntas.

Entonces, usted necesita para...

  1. Mantener la calma. Si usted está a cargo de respuesta a incidentes, lo que se hace ahora debe demostrar la máxima profesionalidad y liderazgo. Documento de todo lo que haces, y mantener su manager y el equipo ejecutivo de conocimiento de las principales acciones; esto incluye trabajar con un equipo de respuesta, la desactivación de servidores, copias de seguridad de datos, y para llevar las cosas de nuevo en línea. Ellos no necesitan detalles escabrosos, pero ellos deben de saber de usted cada 30 minutos más o menos.

  2. Hay que ser realista. Usted no es un profesional de la seguridad, y hay cosas que no conoce. Que bien. Al iniciar sesión en los servidores y analizar los datos, usted necesita entender sus límites. La banda de rodadura suavemente. En el curso de su investigación, asegúrese de que usted no stomp información vital o cambiar algo de lo que podrían ser necesarios más adelante. Si usted se siente incómodo o que están adivinando, es un buen lugar para parar y conseguir una experiencia profesional a tomar el relevo.

  3. Consigue una limpieza de memoria USB de repuesto y las unidades de disco duro. Usted va a recoger la evidencia aquí. Hacer copias de seguridad de todo lo que considere pertinente; la comunicación con su proveedor de internet, la red de vertederos, etc. Incluso si la aplicación de la ley no participa, en el caso de la demanda que se desea que esta evidencia para probar que su empresa maneja los incidentes de seguridad de una forma profesional y adecuada.

  4. Lo más importante es la pérdida de la parada. Identificar y cortar el acceso a la afectación de los servicios, datos, y de las máquinas. Preferiblemente, usted debe tirar de su cable de red; si no puede, a continuación, tire de la potencia.

  5. Después, usted necesita para eliminar el atacante y cerrar el agujero(s). Presumiblemente, el atacante no tiene acceso interactivo porque se tiró de la red. Ahora debe identificar, documentar (con copias de seguridad, capturas de pantalla, y su propio personal de notas de observación; o, preferiblemente, incluso mediante la eliminación de las unidades de los servidores afectados y hacer una imagen de disco de copia), y luego eliminar cualquier código y procesos que dejó atrás. Esta parte va a chupar si usted no tiene copias de seguridad; Se puede intentar desenredar el atacante del sistema con la mano, pero nunca estarás seguro de que usted tiene todo lo que había dejado atrás. Los Rootkits son viciosos, y no todos son detectables. La mejor respuesta será la identificación de la vulnerabilidad que se utiliza para ponerse en, hacer copias de los discos afectados, y, a continuación, limpie los sistemas afectados y de la recarga a partir de una buena copia de seguridad. No confiar ciegamente en la copia de seguridad; verificar! Reparar o cerca de la vulnerabilidad antes de que el nuevo host que pasa en la red de nuevo, y luego ponerla en línea.

  6. Organizar todos los datos en un informe. En este punto, la vulnerabilidad es cerrado y tienes un poco de tiempo para respirar. No tener la tentación de saltarse este paso; es incluso más importante que el resto del proceso. En el informe, es necesario identificar lo que salió mal, cómo su equipo respondió, y los pasos que puedes tomar para prevenir este incidente que ocurra de nuevo. Ser la forma más detallada posible; esto no es sólo para usted, sino para su gestión y como defensa en un juicio potencial.

Eso es un cielo-alta de la revisión de qué hacer; la mayor parte del trabajo es, simplemente, la documentación y copia de seguridad de manejo. No se preocupe, usted puede hacer eso. Me fuertemente recomienda profesional de ayuda de seguridad. Incluso si usted puede manejar lo que está pasando, su ayuda será de gran valor y que por lo general vienen con el equipo para hacer el proceso más fácil y más rápido. Si su jefe se niega a cooperar en el costo, recordarle que es muy pequeño si se compara con el manejo de una demanda.

Mis consuelos para su situación. La buena suerte.

66voto

Eric Belair Puntos 3738
  1. Identificar el problema. Leer los registros.
  2. Contienen. Te has desconectado del servidor, por lo que hace.
  3. Erradicar. Vuelva a instalar el sistema afectado, lo más probable. No borrar el disco duro de la hackeado, utilice uno nuevo. Es más seguro, y usted puede ser que necesite la antigua para recuperar feo hacks que no estaban respaldados, y hacer análisis forense para averiguar lo que sucedió.
  4. Recuperar. Instalar lo que se necesita y recuperar copias de seguridad para llegar a sus clientes en línea.
  5. Seguimiento. Averiguar cuál era el problema, y evitar que suceda de nuevo.

1voto

Zoredache Puntos 84524

CERT tiene un documento de Pasos para la Recuperación de un UNIX o NT en peligro el Sistema que es bueno. Los detalles técnicos específicos de este documento es un poco fuera de fecha, pero un montón de que el consejo general todavía se aplica directamente.

Un rápido resumen de los pasos básicos es este.

  • Consulte a su política de seguridad o de gestión.
  • Obtener el control (tomar el equipo sin conexión)
  • Analizar la intrusión, obtener los registros, la figura de lo que salió mal
  • Reparación de material
    • Instalar una versión limpia de tu sistema operativo!!! Si el sistema ha sido comprometido usted no puede confiar en él, y punto.
  • Actualización de los sistemas de tal forma que esto no puede suceder de nuevo
  • Reanudar las operaciones
  • Actualización de su política para el futuro y documento

Me gustaría apuntan específicamente a la sección E. 1.

E. 1. Tenga en cuenta que si una máquina es comprometida, nada en ese sistema podría haber sido modificado, incluyendo el núcleo, archivos binarios, archivos de datos, la ejecución de los procesos, y la memoria. En en general, la única manera de confiar en que un la máquina está libre de puertas traseras y intruso modificaciones es volver a instalar el operativo

Si usted no tiene un sistema ya en el lugar como tripwire no hay manera posible para que esté 100% seguro de que usted ha limpiado el sistema.

1voto

Tom A Puntos 514

Robert "píldora amarga" la respuesta es irregular, pero totalmente genérico (bueno, como era su pregunta). Suena como que usted tiene un problema de gestión y en extrema necesidad de un tiempo completo sysadmin si usted tiene un servidor y 600 clientes, pero que no ayuda a usted ahora.

Tengo una empresa de hosting que ofrece un poco de la mano que sostiene en esta situación, así que lidiar con un montón de máquinas comprometidas, sino también para abordar en las mejores prácticas para la nuestra propia. Siempre decimos a nuestros comprometida clientes para reconstruir, a menos que no está absolutamente seguro de la naturaleza de un compromiso. No hay otro responsable de la ruta en el largo plazo.

Sin embargo, es casi seguro que sólo la víctima de un script kiddy que quería una plataforma de lanzamiento para ataques DoS, IRC o los gorilas, o algo completamente ajenos a sus clientes y los sitios de los datos. Por lo tanto, como una medida temporal mientras reconstruir, usted podría considerar la posibilidad de llevar una pesada firewall de salida en el cuadro. Si usted puede bloquear todos los salientes de la UDP y TCP conexiones que no son absolutamente necesarios para sus sitios de funcionamiento, usted puede hacer fácilmente su comprometida cuadro inútil para quien es el endeudamiento de usted, y mitigar el efecto en la red del proveedor a cero.

Este proceso puede tardar un par de horas si no has hecho antes, y nunca hemos considerado un firewall, pero podría ayudar a restaurar sus clientes servicio en el riesgo de seguir dando el atacante el acceso a sus clientes de datos. Ya que dicen que tiene cientos de clientes en una máquina, supongo que usted es anfitrión de pequeño folleto de sitios web para pequeñas empresas, y no de 600 sistemas de comercio electrónico completa de números de tarjetas de crédito. Si ese es el caso, esto puede ser un riesgo aceptable para usted, y obtener de nuevo el sistema en línea más rápido que la auditoría de 600 sitios para errores de seguridad antes de llevar nada de nuevo. Pero usted sabrá qué datos hay, y lo cómodo que sería tomar esa decisión.

Esto no es absolutamente la mejor práctica, pero si eso no es lo que ha estado sucediendo a su empleador hasta el momento, moviendo su dedo en ellos y pidiendo a decenas de miles de libras por un equipo SWAT para algo que siente que es su culpa (sin embargo injustificada!) no suena como la opción práctica.

Su ISP ayuda aquí va a ser muy crucial, ya que algunos Isp proporcionan una consola de servidor y de la red entorno de arranque (plug, pero al menos usted sabe qué tipo de instalación a buscar), que permite administrar el servidor mientras está desconectado de la red. Si esto es una opción, pregunte por ella y utilizarla.

Pero en el largo plazo, usted debe planear en un sistema de reconstrucción basado en Robert post y una auditoría de cada sitio y su configuración. Si usted no puede conseguir un sysadmin añadido a su equipo, el aspecto de un hosting administrado de acuerdo en que usted paga a su proveedor sysadminning ayuda y respuesta de 24 horas para este tipo de cosas. Buena suerte :)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: