Dies ist eine kanonische Frage zur Serversicherheit - Reagieren auf Sicherheitsverletzungen (Hacking)
Siehe auch:
Canonical Version
Ich vermute, dass einer oder mehrere meiner Server durch einen Hacker, einen Virus oder einen anderen Mechanismus gefährdet sind:
- Was sind meine ersten Schritte? Wenn ich vor Ort ankomme, sollte ich den Server trennen, "Beweise" aufbewahren, gibt es noch andere anfängliche Überlegungen?
- Wie erhalte ich die Dienste wieder online?
- Wie verhindere ich, dass das Gleiche sofort wieder passiert?
- Gibt es Best Practices oder Methoden, um aus diesem Vorfall zu lernen?
- Wenn ich einen Incident Response Plan zusammenstellen wollte, wo würde ich anfangen? Sollte dies Teil meiner Disaster Recovery- oder Business Continuity-Planung sein?
Originalfassung
2011.01.02 - Ich bin am Sonntag um 21.30 Uhr auf dem Weg zur Arbeit, weil unser Server irgendwie kompromittiert wurde und einen DOS- Angriff auf unseren Provider zur Folge hatte. Der Serverzugriff auf das Internet wurde heruntergefahren, was bedeutet, dass mehr als 5-600 unserer Clientsites heruntergefahren sind. Nun könnte dies ein FTP-Hack oder irgendwo eine Codeschwäche sein. Ich bin mir nicht sicher, bis ich dort bin.
Wie kann ich das schnell herausfinden? Wir sind in einer ganzen Reihe von Rechtsstreitigkeiten verwickelt, wenn ich den Server nicht so schnell wie möglich wieder in Betrieb nehme. Jede Hilfe wird geschätzt. Wir führen Open SUSE 11.0 aus.
2011.01.03 - Vielen Dank an alle für Ihre Hilfe. Zum Glück war ich nicht die einzige Person, die für diesen Server verantwortlich ist, sondern nur die nächste. Es ist uns gelungen, dieses Problem zu beheben, obwohl es in einer anderen Situation möglicherweise nicht für viele andere gilt. Ich werde detailliert beschreiben, was wir getan haben.
Wir haben den Server vom Netz getrennt. Es wurde versucht, einen Denial-of-Service-Angriff auf einen anderen Server in Indonesien durchzuführen, und der Schuldige befand sich ebenfalls dort.
Wir haben zunächst versucht, den Ursprung auf dem Server zu ermitteln, da wir davon ausgegangen sind, dass mehr als 500 Sites auf dem Server für einige Zeit im Mondschein stehen. Mit SSH-Zugriff führten wir jedoch einen Befehl aus, um alle Dateien zu finden, die zu dem Zeitpunkt bearbeitet oder erstellt wurden, als die Angriffe begannen. Glücklicherweise wurde die anstößige Datei in den Winterferien erstellt, was bedeutete, dass zu diesem Zeitpunkt nicht viele andere Dateien auf dem Server erstellt wurden.
Wir konnten dann die problematische Datei identifizieren, die sich im Ordner für hochgeladene Bilder auf einer ZenCart- Website befand.
Nach einer kurzen Zigarettenpause kamen wir zu dem Schluss, dass der Upload aufgrund des Speicherorts der Dateien über eine unzureichend gesicherte Datei-Upload-Funktion erfolgt sein muss. Nach einigem googeln stellten wir fest, dass es eine Sicherheitslücke gab, die das Hochladen von Dateien innerhalb des ZenCart Admin-Panels für ein Bild für eine Plattenfirma ermöglichte. (Der Abschnitt, den es nie wirklich benutzte), hat beim Posten dieses Formulars nur eine Datei hochgeladen, die Dateierweiterung nicht überprüft und nicht einmal geprüft, ob der Benutzer angemeldet war.
Dies bedeutete, dass alle Dateien hochgeladen werden konnten, einschließlich einer PHP-Datei für den Angriff. Wir haben die Sicherheitslücke mit ZenCart auf der infizierten Site gesichert und die fehlerhaften Dateien entfernt.
Die Arbeit war erledigt und ich war 2 Uhr morgens zu Hause
Die Moral - Wenden Sie immer Sicherheitspatches für ZenCart oder ein anderes CMS-System an. Wie bei der Veröffentlichung von Sicherheitsupdates wird die ganze Welt auf die Sicherheitsanfälligkeit aufmerksam gemacht. - Machen Sie immer Backups und sichern Sie Ihre Backups. - Stellen Sie jemanden ein oder sorgen Sie für jemanden, der in Zeiten wie diesen da sein wird. Um zu verhindern, dass sich jemand auf einen in Panik geratenen Beitrag bei Server Fault verlässt.
Antworten:
Von dem, was Sie hier gepostet haben, ist es schwierig, konkrete Ratschläge zu geben, aber ich habe einige allgemeine Ratschläge, die auf einem Beitrag basieren, den ich vor langer Zeit geschrieben habe, als ich mich noch um das Bloggen kümmern konnte.
Keine Panik
Zunächst einmal gibt es keine "Schnellkorrekturen" außer dem Wiederherstellen Ihres Systems von einem Backup, das vor dem Eindringen erstellt wurde, und dies hat mindestens zwei Probleme.
Diese Frage wird immer wieder von den Opfern von Hackern gestellt, die in ihren Webserver eindringen. Die Antworten ändern sich sehr selten, aber die Leute stellen die Frage immer wieder. Ich bin mir nicht sicher warum. Vielleicht mögen die Leute die Antworten, die sie auf der Suche nach Hilfe gesehen haben, einfach nicht oder sie können niemanden finden, dem sie vertrauen, um ihnen Ratschläge zu geben. Oder vielleicht lesen die Leute eine Antwort auf diese Frage und konzentrieren sich zu sehr auf die 5%, warum ihr Fall speziell ist und sich von den Antworten unterscheidet, die sie online finden können, und verpassen die 95% der Frage und Antwort, wenn ihr Fall nahe genug gleich ist als die, die sie online lesen.
Das bringt mich zum ersten wichtigen Informationsnugget. Ich weiß wirklich zu schätzen, dass Sie eine besondere einzigartige Schneeflocke sind. Ich schätze, dass auch Ihre Website ein Spiegelbild von Ihnen und Ihrem Unternehmen oder zumindest Ihrer harten Arbeit im Auftrag eines Arbeitgebers ist. Aber für jemanden, der von außen nach innen schaut, sei es eine Person für Computersicherheit, die sich das Problem ansieht, um Ihnen zu helfen, oder sogar der Angreifer selbst, ist es sehr wahrscheinlich, dass Ihr Problem zu mindestens 95% mit jedem anderen Fall identisch ist, den sie haben jemals angeschaut.
Nimm den Angriff nicht persönlich und nimm nicht die Empfehlungen an, die hier folgen oder die du von anderen Leuten persönlich bekommst. Wenn Sie dies lesen, nachdem Sie Opfer eines Website-Hacks geworden sind, tut es mir wirklich leid, und ich hoffe, Sie können hier etwas Hilfreiches finden, aber dies ist nicht die Zeit, um Ihr Ego in die Quere zu bringen, was Sie brauchen machen.
Sie haben gerade herausgefunden, dass Ihre Server gehackt wurden. Was jetzt?
Keine Panik. Handeln Sie auf keinen Fall in Eile und tun Sie auf keinen Fall so, als ob etwas niemals passiert wäre und handeln Sie überhaupt nicht.
Erstens: Verstehe, dass die Katastrophe bereits passiert ist. Dies ist nicht die Zeit für die Ablehnung; Es ist an der Zeit zu akzeptieren, was passiert ist, realistisch zu sein und Schritte zu unternehmen, um die Folgen der Auswirkungen zu bewältigen.
Einige dieser Schritte werden weh tun, und (es sei denn, Ihre Website enthält eine Kopie meiner Daten) es ist mir wirklich egal, ob Sie alle oder einige dieser Schritte ignorieren, das liegt an Ihnen. Aber wenn man ihnen richtig folgt, wird es am Ende besser. Das Medikament mag schrecklich schmecken, aber manchmal muss man das übersehen, wenn das Heilmittel wirklich wirken soll.
Verhindern Sie, dass sich das Problem verschlimmert:
Wie verärgert Ihre Kunden auch sein mögen, wenn Sie sie über ein Problem informieren, sie sind viel verärgerter, wenn Sie es ihnen nicht mitteilen, und sie finden es erst heraus, nachdem jemand Waren im Wert von 8.000 USD mit den von ihnen angegebenen Kreditkartendaten belastet hat von Ihrer Website gestohlen.
Erinnerst du dich, was ich vorher gesagt habe? Das Schlimme ist schon passiert. Die Frage ist nur, wie gut Sie damit umgehen.
Verstehe das Problem vollständig:
Warum nicht einfach den entdeckten Exploit oder das Rootkit "reparieren" und das System wieder online stellen?
In solchen Situationen besteht das Problem darin, dass Sie nicht mehr die Kontrolle über dieses System haben. Es ist nicht mehr dein Computer.
Die einzige Möglichkeit, um sicherzugehen, dass Sie die Kontrolle über das System haben, besteht darin, das System neu zu erstellen . Es ist zwar sehr wertvoll, den Exploit zu finden und zu reparieren, der zum Einbrechen in das System verwendet wurde, aber Sie können nicht sicher sein, was noch mit dem System geschehen ist, nachdem die Eindringlinge die Kontrolle erlangt haben (was für Hacker, die sich einstellen, nicht ungewöhnlich ist) Systeme in ein Botnetz einbinden, um die von ihnen selbst genutzten Exploits zu patchen, "ihren" neuen Computer vor anderen Hackern zu schützen sowie ihr Rootkit zu installieren).
Machen Sie einen Plan für die Wiederherstellung und bringen Sie Ihre Website wieder online und bleiben Sie dabei:
Niemand möchte länger offline sein als nötig. Das ist eine gegebene. Wenn diese Website ein Mechanismus ist, der Einnahmen generiert, ist der Druck, sie schnell wieder online zu stellen, sehr groß. Auch wenn das Einzige, was auf dem Spiel steht, der Ruf Ihres Unternehmens ist, erzeugt dies immer noch einen großen Druck, die Dinge schnell wieder in Ordnung zu bringen.
Geben Sie jedoch nicht der Versuchung nach, zu schnell wieder online zu gehen. Bewegen Sie sich stattdessen so schnell wie möglich, um zu verstehen, was das Problem verursacht hat, und um es zu lösen, bevor Sie wieder online gehen. Andernfalls werden Sie mit ziemlicher Sicherheit erneut Opfer eines Eingriffs und denken Sie daran: "Einmal gehackt zu werden, kann als Unglück eingestuft werden. Sich gleich danach wieder hacken zu lassen, sieht nach Nachlässigkeit aus "(mit Entschuldigung an Oscar Wilde).
Das Risiko in Zukunft reduzieren.
Das Erste, was Sie verstehen müssen, ist, dass Sicherheit ein Prozess ist, den Sie über den gesamten Lebenszyklus des Entwerfens, Bereitstellens und Wartens eines mit dem Internet verbundenen Systems anwenden müssen, und nicht etwas, das Sie später wie billig über Ihren Code legen können Farbe. Um richtig sicher zu sein, müssen ein Dienst und eine Anwendung von Anfang an unter Berücksichtigung dieses Aspekts als eines der Hauptziele des Projekts konzipiert werden. Mir ist klar, dass das langweilig ist und Sie alles schon einmal gehört haben und dass ich den Druck, Ihren Beta-Web2.0 (Beta) -Dienst in den Beta-Status im Web zu versetzen, einfach nicht erkenne, aber die Tatsache ist, dass dies so bleibt wiederholt werden, weil es wahr war, als es das erste Mal gesagt wurde und es noch keine Lüge geworden ist.
Sie können das Risiko nicht ausschließen. Sie sollten nicht einmal versuchen, das zu tun. Was Sie jedoch tun sollten, ist zu verstehen, welche Sicherheitsrisiken für Sie wichtig sind und wie Sie sowohl die Auswirkungen des Risikos als auch die Wahrscheinlichkeit, dass das Risiko eintritt, verwalten und reduzieren können.
Welche Maßnahmen können Sie ergreifen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern?
Zum Beispiel:
Welche Maßnahmen können Sie ergreifen, um die Folgen eines erfolgreichen Angriffs zu verringern?
Wenn Sie der Meinung sind, dass das "Risiko" einer Überflutung in der unteren Etage Ihres Hauses hoch ist, aber nicht hoch genug, um einen Umzug zu rechtfertigen, sollten Sie zumindest die unersetzlichen Familienerbstücke nach oben bringen. Richtig?
... Und schlussendlich
Ich habe wahrscheinlich jede Menge Dinge ausgelassen, die andere für wichtig halten, aber die obigen Schritte sollten Ihnen zumindest dabei helfen, Dinge zu sortieren, wenn Sie das Pech haben, Hackern zum Opfer zu fallen.
Vor allem: Keine Panik. Denk nach bevor du handelst. Handle fest, sobald du eine Entscheidung getroffen hast, und hinterlasse unten einen Kommentar, wenn du meiner Liste der Schritte etwas hinzuzufügen hast.
quelle
Es hört sich so an, als wären Sie etwas über Ihrem Kopf. das ist okay. Rufen Sie Ihren Chef an und fangen Sie an, über ein Notfallbudget für Sicherheitsmaßnahmen zu verhandeln. $ 10.000 könnten ein guter Anfang sein. Dann müssen Sie jemanden (einen PJ, einen Kollegen, einen Manager) dazu bringen, Firmen anzurufen, die sich auf die Reaktion auf Sicherheitsvorfälle spezialisiert haben. Viele können innerhalb von 24 Stunden und manchmal sogar schneller antworten, wenn sie ein Büro in Ihrer Stadt haben.
Sie brauchen auch jemanden, der Kunden anspricht. Zweifellos ist das schon jemand. Jemand muss mit ihnen telefonieren, um zu erklären, was los ist, was getan wird, um mit der Situation umzugehen, und um ihre Fragen zu beantworten.
Dann müssen Sie ...
Bleib ruhig. Wenn Sie für die Reaktion auf Vorfälle zuständig sind, müssen Sie jetzt ein Höchstmaß an Professionalität und Führungsqualitäten unter Beweis stellen. Dokumentieren Sie alles, was Sie tun, und informieren Sie Ihren Manager und Ihr Führungsteam über wichtige Maßnahmen. Dazu gehört das Arbeiten mit einem Reaktionsteam, das Deaktivieren von Servern, das Sichern von Daten und das erneute Online-Schalten. Sie brauchen keine blutigen Details, aber sie sollten alle 30 Minuten oder so von Ihnen hören.
Sei realistisch. Sie sind kein Sicherheitsexperte und es gibt Dinge, die Sie nicht kennen. Das ist okay. Wenn Sie sich bei Servern anmelden und Daten anzeigen, müssen Sie Ihre Grenzen kennen. Vorsichtig treten. Stellen Sie im Verlauf Ihrer Untersuchung sicher, dass Sie nicht auf wichtige Informationen herumstampfen oder etwas ändern, das später benötigt wird. Wenn Sie sich unwohl fühlen oder vermuten, ist dies ein guter Ort, um anzuhalten und einen erfahrenen Fachmann zur Übernahme zu bewegen.
Besorgen Sie sich einen sauberen USB-Stick und Ersatzfestplatten. Hier sammeln Sie Beweise. Machen Sie Backups von allem, was Sie für relevant halten. Kommunikation mit Ihrem ISP, Netzwerk-Dumps usw. Auch wenn die Strafverfolgung keine Rolle spielt, sollten Sie im Falle einer Klage nachweisen, dass Ihr Unternehmen den Sicherheitsvorfall professionell und angemessen gehandhabt hat.
Am wichtigsten ist es, den Verlust zu stoppen. Identifizieren und Unterbinden des Zugriffs auf gefährdete Dienste, Daten und Computer. Am besten ziehen Sie am Netzwerkkabel. Wenn Sie nicht können, ziehen Sie den Strom.
Als nächstes müssen Sie den Angreifer entfernen und die Lücke (n) schließen. Vermutlich hat der Angreifer keinen interaktiven Zugriff mehr, weil Sie das Netzwerk gezogen haben. Sie müssen jetzt identifizieren, dokumentieren (mit Backups, Screenshots und Ihren eigenen persönlichen Beobachtungsnotizen oder vorzugsweise sogar durch Entfernen der Laufwerke von den betroffenen Servern und Erstellen einer vollständigen Disk-Image-Kopie) und dann den Code und die Prozesse entfernen, die er zurückgelassen hat . Dieser nächste Teil wird nicht funktionieren, wenn Sie keine Backups haben. Sie können versuchen, den Angreifer von Hand aus dem System zu entwirren, aber Sie werden nie sicher sein, dass Sie alles haben, was er zurückgelassen hat. Rootkits sind bösartig und nicht alle sind nachweisbar. Die beste Antwort besteht darin, die Sicherheitsanfälligkeit zu identifizieren, Image-Kopien der betroffenen Datenträger zu erstellen, die betroffenen Systeme zu bereinigen und von einer als funktionierend bekannten Sicherung neu zu laden. Don' t Vertrauen Sie blindlings Ihrem Backup. überprüfe es! Reparieren oder schließen Sie die Sicherheitsanfälligkeit, bevor der neue Host erneut in das Netzwerk eingebunden wird, und schalten Sie ihn dann online.
Organisieren Sie alle Ihre Daten in einem Bericht. An diesem Punkt ist die Sicherheitslücke geschlossen und Sie haben etwas Zeit zum Atmen. Seien Sie nicht versucht, diesen Schritt zu überspringen. es ist noch wichtiger als der Rest des Prozesses. In dem Bericht müssen Sie ermitteln, was schief gelaufen ist, wie Ihr Team reagiert hat und welche Schritte Sie unternehmen, um zu verhindern, dass dieser Vorfall erneut auftritt. Sei so detailliert wie möglich; Dies ist nicht nur für Sie, sondern für Ihr Management und als Verteidigung in einer potenziellen Klage.
Das ist eine himmelhohe Überprüfung dessen, was zu tun ist. Die meiste Arbeit besteht lediglich aus Dokumentation und Backup-Verwaltung. Keine Panik, du kannst das Zeug machen. Ich empfehle dringend , dass Sie professionelle Sicherheitshilfe erhalten. Selbst wenn Sie mit den Vorgängen fertig werden, wird ihre Hilfe von unschätzbarem Wert sein und sie werden normalerweise mit Ausrüstung geliefert, um den Prozess einfacher und schneller zu gestalten. Wenn Ihr Chef auf Kosten stößt, erinnern Sie ihn daran, dass es im Vergleich zur Bearbeitung eines Rechtsstreits sehr klein ist.
Sie haben meinen Trost für Ihre Situation. Viel Glück.
quelle
CERT hat ein Dokument Schritte zur Wiederherstellung von einem UNIX- oder NT-System-Kompromiss , das gut ist. Die spezifischen technischen Details dieses Dokuments sind etwas veraltet, aber ein Großteil der allgemeinen Hinweise gilt immer noch direkt.
Dies ist eine kurze Zusammenfassung der grundlegenden Schritte.
Ich möchte Sie ausdrücklich auf Abschnitt E.1 verweisen.
Wenn Sie noch kein System wie Tripwire installiert haben, können Sie nicht zu 100% sicher sein, dass Sie das System bereinigt haben.
quelle
quelle
Roberts "bittere Pille" -Antwort ist genau richtig, aber völlig allgemein gehalten (genau wie Ihre Frage). Es hört sich so an, als hätten Sie ein Verwaltungsproblem und benötigen dringend einen Vollzeit-Systemadministrator, wenn Sie einen Server und 600 Clients haben, aber das hilft Ihnen jetzt nicht weiter.
Ich betreibe eine Hosting-Firma, die in dieser Situation ein wenig Handarbeit leistet, also beschäftige ich mich mit vielen kompromittierten Maschinen, aber auch mit Best Practices für unsere eigenen. Wir weisen unsere kompromittierten Kunden immer an, neu zu erstellen, es sei denn, sie sind sich der Art eines Kompromisses nicht absolut sicher. Langfristig gibt es keinen anderen verantwortlichen Weg.
Sie sind jedoch mit ziemlicher Sicherheit nur das Opfer eines Script-Kiddys, der eine Startrampe für DoS-Angriffe oder IRC-Bouncer oder etwas, das in keiner Beziehung zu den Websites und Daten Ihrer Kunden steht, haben möchte. Daher sollten Sie als vorübergehende Maßnahme bei der Neuerstellung in Betracht ziehen, eine starke ausgehende Firewall auf Ihrer Box zu installieren. Wenn Sie alle ausgehenden UDP- und TCP-Verbindungen blockieren können, die für das Funktionieren Ihrer Sites nicht unbedingt erforderlich sind, können Sie Ihre kompromittierte Box für jeden, der sie von Ihnen ausleiht, unbrauchbar machen und die Auswirkungen auf das Netzwerk Ihres Providers auf Null reduzieren.
Dieser Vorgang kann einige Stunden dauern, wenn Sie dies noch nicht getan haben und noch nie über eine Firewall nachgedacht haben. Er kann Ihnen jedoch dabei helfen, den Dienst Ihres Clients wiederherzustellen, wenn das Risiko besteht, dem Angreifer weiterhin Zugriff auf die Daten Ihres Clients zu gewähren . Da Sie sagen, dass Sie Hunderte von Kunden auf einem Computer haben, hosten Sie vermutlich kleine Broschürenwebsites für kleine Unternehmen und nicht 600 E-Commerce-Systeme voller Kreditkartennummern. Wenn dies der Fall ist, kann dies ein akzeptables Risiko für Sie sein. Stellen Sie sicher, dass Ihr System schneller wieder online ist, als 600 Sites auf Sicherheitslücken zu überprüfen, bevor Sie etwas zurückbringen. Sie werden jedoch wissen, welche Daten vorhanden sind und wie komfortabel Sie diese Entscheidung treffen würden.
Dies ist absolut keine bewährte Methode, aber wenn dies bei Ihrem Arbeitgeber bisher nicht der Fall war, müssen Sie mit dem Finger darüber wedeln und Zehntausende Pfund für ein SWAT-Team verlangen, weil Sie der Meinung sind, dass dies Ihre Schuld ist (auch wenn dies nicht gerechtfertigt ist!). ) klingt nicht nach der praktischen Option.
Die Hilfe Ihres Internetdienstanbieters wird hier von entscheidender Bedeutung sein. Einige Internetdienstanbieter bieten eine Konsolenserver- und Netzwerk-Boot-Umgebung (Plug-in, aber Sie wissen zumindest, nach welcher Möglichkeit Sie suchen müssen), mit der Sie den Server verwalten können, während Sie nicht mit dem Netzwerk verbunden sind. Wenn dies überhaupt eine Option ist, fragen Sie danach und verwenden Sie sie.
Langfristig sollten Sie jedoch einen Systemneubau planen, der auf Roberts Beitrag und einer Prüfung jedes Standorts und seiner Einrichtung basiert. Wenn Sie keinen Sysadmin zu Ihrem Team hinzufügen können, suchen Sie nach einem Managed-Hosting- Angebot, bei dem Sie Ihrem ISP für Sysadminning-Hilfe und eine 24-Stunden-Antwort auf solche Fragen bezahlen. Viel Glück :)
quelle
Sie müssen neu installieren. Speichern Sie, was Sie wirklich brauchen. Beachten Sie jedoch, dass alle Ihre ausführbaren Dateien möglicherweise infiziert und manipuliert sind. Ich habe folgendes in Python geschrieben: http://frw.se/monty.py , das MD5-Sumbs aller Ihrer Dateien in einem bestimmten Verzeichnis erstellt. Wenn Sie es das nächste Mal ausführen, wird überprüft, ob etwas geändert wurde, und was dann ausgegeben Dateien geändert und was in den Dateien geändert.
Dies kann nützlich für Sie sein, um festzustellen, ob seltsame Dateien regelmäßig geändert werden.
Das Einzige, was Sie jetzt tun sollten, ist, Ihren Computer aus dem Internet zu entfernen.
quelle
HINWEIS: Dies ist keine Empfehlung. Mein spezielles Incident Response- Protokoll
würde wahrscheinlich nichtunverändert auf Grant unwins Fall zutreffen.In unseren akademischen Einrichtungen haben wir ungefähr 300 Forscher, die nur rechnen. Sie haben 600 Clients mit Websites, sodass Ihr Protokoll wahrscheinlich anders sein wird.
Die ersten Schritte in unserem " Wenn ein Server gefährdet wird" -Protokoll sind:
dd
Starten Sie die Post-Mortem-Forensik. Schauen Sie sich die Protokolle an, ermitteln Sie den Zeitpunkt des Angriffs und suchen Sie nach Dateien, die zu diesem Zeitpunkt geändert wurden. Versuchen Sie, das Wie zu beantworten ? Frage.
Selbst wenn "alle Backdoors und Rootkits bereinigt wurden", vertrauen Sie diesem System nicht - installieren Sie es von Grund auf neu.
quelle
rsync
kurz vorher einzuloggen und / oder zu bearbeiten). Wir werden möglicherweise auch häufige VM-Snapshots einführen, damit RAM-Forensik möglich ist. Die Gründe für das Stromkabel sind: (1) Wenn Sie in einem gehackten System Forensik betreiben, treten Sie "über den gesamten Tatort"; (2) Das Root-Kit läuft weiter - es ist nicht so schwer für die Angreifer, beim Ereignis " Network Link Down" etwas auszuführen (z. B. Systemausfall) . Kyle Rankin empfahl in seinem netten Intro to Forensics-Vortrag ( goo.gl/g21Ok ), am Stromkabel zu ziehen.Nach meiner begrenzten Erfahrung sind Systemkompromisse unter Linux in der Regel umfassender als unter Windows. Die Root-Kits enthalten mit größerer Wahrscheinlichkeit das Ersetzen von System-Binärdateien durch benutzerdefinierten Code, um die Malware zu verbergen, und die Barriere für das Hot-Patching des Kernels ist etwas geringer. Außerdem ist es das Heimbetriebssystem für viele Malware-Autoren. Die allgemeine Anleitung besteht immer darin, den betroffenen Server von Grund auf neu zu erstellen, und dies ist aus einem bestimmten Grund die allgemeine Anleitung.
Formatieren Sie diesen Welpen.
Aber wenn Sie es nicht wieder aufbauen können (oder die-Mächte-die-es-sein werden, lassen Sie es nicht wieder aufbauen, obwohl Sie anstrengend darauf bestehen, dass es gebraucht wird), wonach suchen Sie?
Da es sich so anhört, als wäre es eine Weile her, seit das Eindringen entdeckt und eine Systemwiederherstellung durchgeführt wurde, ist es sehr wahrscheinlich, dass die Spuren, wie sie hereingekommen sind, in der Stampede herumgetrampelt wurden, um den Dienst wiederherzustellen. Unglücklich.
Ungewöhnlicher Netzwerkverkehr ist wahrscheinlich am einfachsten zu finden, da dabei nichts auf der Box ausgeführt wird und alles ausgeführt werden kann, während der Server in Betrieb ist und was auch immer getan wird. Vorausgesetzt natürlich, Ihre Netzwerkausrüstung erlaubt das Überspannen von Ports. Was Sie finden, kann diagnostisch sein oder nicht, aber es sind zumindest Informationen. Ungewöhnlicher Datenverkehr ist ein starker Beweis dafür, dass das System immer noch kompromittiert ist und reduziert werden muss. Es könnte gut genug sein, um TPTB davon zu überzeugen, dass eine Neuformatierung wirklich die Ausfallzeit wert ist.
Andernfalls nehmen Sie eine Kopie Ihrer Systempartitionen und hängen Sie sie auf eine andere Box. Vergleichen Sie Inhalte mit einem Server auf der gleichen Patch-Ebene wie der gefährdete. Es sollte Ihnen helfen, das zu identifizieren, was anders aussieht (diese md5sums wieder) und möglicherweise auf übersehene Bereiche auf dem gefährdeten Server hinweisen. Dies ist eine Menge Durchsuchen von Verzeichnissen und Binärdateien und wird ziemlich arbeitsintensiv sein. Es kann sogar arbeitsintensiver sein als eine Neuformatierung / Wiederherstellung, und es kann eine andere Sache sein, TPTB dazu zu bringen, die tatsächlich benötigte Neuformatierung durchzuführen.
quelle
Ich würde sagen, dass @Robert Moir, @Aleksandr Levchuk, @blueben und @Matthew Bloch in ihren Antworten ziemlich genau passen.
Die Antworten der verschiedenen Poster sind jedoch unterschiedlich - einige sind eher hochrangig und besprechen, welche Verfahren (im Allgemeinen) Sie anwenden sollten.
Ich würde es vorziehen, dies in mehrere separate Teile aufzuteilen. 1) Triage, AKA Wie gehe ich mit den Kunden und den rechtlichen Konsequenzen um und lege fest, wohin ich von dort aus gehen soll ) Reaktion auf Vorfälle 4) Post-mortem-Forensik 5) Korrekturmaßnahmen und Änderungen an der Architektur
(Fügen Sie hier eine Antworterklärung mit SANS GSC-Zertifikat ein.) Aufgrund früherer Erfahrungen würde ich Folgendes sagen:
Unabhängig davon, wie Sie mit Kundenantworten, Benachrichtigungen, rechtlichen und zukünftigen Plänen umgehen, möchte ich mich lieber auf das Hauptproblem konzentrieren. Die ursprüngliche Frage des OP bezieht sich eigentlich nur direkt auf # 2 und # 3. Im Grunde genommen geht es darum, wie Sie den Angriff stoppen und Kunden so schnell wie möglich wieder online stellen können.
Die restlichen Antworten sind großartig und decken eine Vielzahl von bewährten Methoden und Methoden ab, um zu verhindern, dass dies in Zukunft geschieht, und um besser darauf zu reagieren.
Es hängt wirklich vom Budget des OP ab und davon, in welchem Industriezweig sie sich befinden, welche Lösung sie sich wünschen usw.
Möglicherweise müssen sie eine dedizierte SA vor Ort beauftragen. Vielleicht brauchen sie eine Sicherheitsperson. Oder sie benötigen eine vollständig verwaltete Lösung wie Firehost oder Rackspace Managed, Softlayer, ServePath usw.
Es kommt wirklich darauf an, was für ihr Geschäft funktioniert. Vielleicht liegt ihre Kernkompetenz nicht in der Serververwaltung, und es macht keinen Sinn, dass sie versuchen, diese zu entwickeln. Oder vielleicht sind sie bereits eine ziemlich technische Organisation und können die richtigen Einstellungsentscheidungen treffen und ein engagiertes Team auf Vollzeit stellen.
quelle
Nachdem wir uns an die Arbeit gemacht und einen Blick auf den Server geworfen hatten, konnten wir das Problem herausfinden. Glücklicherweise wurden die fehlerhaften Dateien an einem Sonntag in das System hochgeladen, wenn das Büro geschlossen ist und außer Protokollen und Cache-Dateien keine Dateien erstellt werden sollten. Mit einem einfachen Shell-Befehl können wir herausfinden, welche Dateien an diesem Tag erstellt wurden.
Alle anstößigen Dateien befanden sich anscheinend auf einigen unserer älteren Zencart-Sites im Ordner / images /. Es scheint, dass es eine Sicherheitslücke gab, die es jedem Idioten ermöglichte, Nicht-Bilder in den Bild-Upload-Bereich im Admin-Bereich hochzuladen. Wir haben die anstößigen .php-Dateien gelöscht und die Upload-Skripte korrigiert, um das Hochladen von Dateien zu verhindern, die keine Bilder sind.
Rückblickend war es ganz einfach und ich habe diese Frage auf meinem iPhone auf dem Weg zur Arbeit gestellt. Vielen Dank für all eure Hilfe.
Als Referenz für jeden, der diesen Beitrag in Zukunft besucht. Ich würde nicht empfehlen, den Netzstecker zu ziehen.
quelle
Ich habe wenig zu den umfangreichen technischen Antworten beizutragen, aber bitte beachten Sie auch einige davon:
Nichttechnische Maßnahmen:
Melden Sie den Vorfall intern.
Wenn Sie noch keinen Plan für die Reaktion auf Vorfälle haben, scheint dies eine CYA-Technik zu sein, aber die IT-Abteilung ist nicht der einzige und oft nicht einmal der beste Ort, um die geschäftlichen Auswirkungen eines kompromittierten Servers zu bestimmen .
Geschäftsanforderungen können Ihre technischen Bedenken übertreffen. Sagen Sie nicht "Ich habe es Ihnen gesagt" und die Priorität von geschäftlichen Bedenken ist der Grund, warum Sie diesen kompromittierten Server überhaupt haben. (" Lassen Sie das für den Nachbericht. ")
Das Vertuschen eines Sicherheitsvorfalls ist keine Option.
Berichterstattung an die lokalen Behörden.
ServerFault ist NICHT der Ort für Rechtsberatung, dies sollte jedoch in einen Notfallplan aufgenommen werden.
In einigen Regionen und / oder regulierten Branchen ist es obligatorisch, (bestimmte) Sicherheitsvorfälle den örtlichen Strafverfolgungsbehörden oder Regulierungsbehörden zu melden oder betroffene Kunden / Benutzer zu informieren.
Unabhängig davon wird weder die Entscheidung zur Berichterstattung noch die eigentliche Berichterstattung ausschließlich in der IT-Abteilung getroffen. Erwarten Sie die Einbeziehung des Managements sowie der Abteilungen für Recht und Unternehmenskommunikation (Marketing).
Sie sollten wahrscheinlich nicht zu viel erwarten, das Internet ist ein großer Ort, an dem Grenzen wenig Bedeutung haben, aber die Cyber-Kriminalitätsabteilungen, die in vielen Polizeidienststellen existieren, lösen digitale Verbrechen und können die Schuldigen vor Gericht bringen.
quelle
Ich denke, es läuft alles auf Folgendes hinaus:
Wenn Sie Ihren Job schätzen, sollten Sie einen Plan haben und ihn regelmäßig überarbeiten.
Wenn Sie nicht planen, ist ein Fehlschlagen geplant, und es ist nirgendwo anders wahrer als in Bezug auf die Systemsicherheit. Wenn <redacted> den Fan trifft, solltest du besser bereit sein, damit umzugehen.
Hier gilt ein anderes (etwas klischeehaftes) Sprichwort: Vorbeugen ist besser als heilen .
Hier wurde eine Reihe von Empfehlungen gegeben, um Experten für die Prüfung Ihrer vorhandenen Systeme zu gewinnen. Ich denke, dies stellt die Frage zum falschen Zeitpunkt. Diese Frage hätte gestellt werden müssen, als das System eingerichtet und die Antworten dokumentiert wurden. Die Frage sollte auch nicht lauten: "Wie können wir Menschen davon abhalten, einzubrechen?" Es sollte lauten: "Warum sollten die Leute überhaupt einbrechen können?" Die Überwachung einer Reihe von Lücken in Ihrem Netzwerk funktioniert nur, bis neue Lücken gefunden und ausgenutzt wurden. Auf der anderen Seite werden Netzwerke, die von Grund auf so konzipiert sind, dass sie nur auf bestimmte Weise auf bestimmte Systeme in einem sorgfältig choreografierten Tanz reagieren, von einer Prüfung überhaupt nicht profitieren und die Gelder werden eine Verschwendung sein.
Fragen Sie sich, bevor Sie ein System ins Internet stellen - muss dies zu 100% auf das Internet ausgerichtet sein? Wenn nicht, dann nicht. Stellen Sie es eventuell hinter eine Firewall, um zu entscheiden, was im Internet angezeigt wird. Noch besser ist es, wenn die Firewall es Ihnen ermöglicht, die Übertragungen (über einen Reverse-Proxy oder einen Pass-Through-Filter) abzufangen und nur legitime Aktionen zuzulassen.
Dies wurde getan - es gibt (oder gab) irgendwo ein Internet-Banking-Setup, das einen Load-Balancing-Proxy für das Internet hat, mit dem sie Angriffe von ihrem Serverpool fernhalten wollten. Der Sicherheitsexperte Marcus Ranum überzeugte sie vom umgekehrten Ansatz, indem er den Reverse-Proxy verwendete, um nur bekannte gültige URLs durchzulassen und alles andere an einen 404-Server zu senden . Es hat den Test der Zeit überraschend gut überstanden.
Ein System oder Netzwerk, das auf einer Standardgenehmigung basiert, ist zum Scheitern verurteilt, sobald ein Angriff erfolgt, den Sie nicht vorausgesehen haben. Durch die Standardverweigerung haben Sie weitaus mehr Kontrolle darüber, was reinkommt und was nicht, weil Sie nichts von innen von außen sehen lassen, es sei denn, es muss verdammt gut sein .
Das alles ist jedoch kein Grund, selbstgefällig zu werden. In den ersten Stunden nach einer Verletzung sollten Sie noch einen Plan haben. Kein System ist perfekt und Menschen machen Fehler.
quelle
Ein netter Onliner hat mir kürzlich geholfen herauszufinden, wie ein Angreifer ein System kompromittieren kann. Einige Cracker versuchen, ihre Spuren zu verbergen, indem sie die Änderungszeit für Dateien fälschen. Durch Ändern der Änderungszeit wird die Änderungszeit aktualisiert (ctime). Sie können die Uhrzeit mit stat sehen.
Diese eine Zeile listet alle Dateien sortiert nach ctime auf:
Wenn Sie also den Zeitpunkt der Kompromittierung ungefähr kennen, können Sie sehen, welche Dateien geändert oder erstellt wurden.
quelle