Ich habe gerade die Website durchsucht und diese Frage gefunden: Mein Server wurde NOTFALL gehackt . Grundsätzlich lautet die Frage: Mein Server wurde gehackt. Was soll ich machen?
Die beste Antwort ist ausgezeichnet, hat aber einige Fragen in meinem Kopf aufgeworfen. Einer der vorgeschlagenen Schritte ist:
Untersuchen Sie die "angegriffenen" Systeme, um zu verstehen, wie die Angriffe Ihre Sicherheit gefährdet haben. Bemühen Sie sich nach Kräften, herauszufinden, woher die Angriffe "kamen", damit Sie verstehen, welche Probleme Sie haben und angehen müssen, um Ihr System in Zukunft sicher zu machen.
Ich habe keine Systemadministrationsarbeit geleistet, daher habe ich keine Ahnung, wie ich damit anfangen würde. Was wäre der erste Schritt? Ich weiß, dass Sie in den Server-Protokolldateien nachsehen können, aber als Angreifer würde ich als erstes die Protokolldateien löschen. Wie würden Sie "verstehen", wie die Angriffe erfolgreich waren?
Antworten:
Ich beginne damit, dass ich, wenn Sie KEINE LOG-DATEIEN haben , eine ziemlich gute Chance habe, dass Sie NIE verstehen, wo oder wie der Angriff erfolgreich war. Selbst mit vollständigen und ordnungsgemäßen Protokolldateien kann es äußerst schwierig sein, vollständig zu verstehen, wer, was, wo, wann, warum und wie.
Wenn Sie also wissen, wie wichtig Protokolldateien sind, beginnen Sie zu verstehen, wie sicher Sie sie aufbewahren müssen. Aus diesem Grund investieren Unternehmen in Security Information & Event Management oder kurz SIEM.
Kurz gesagt, das Korrelieren aller Ihrer Protokolldateien zu bestimmten Ereignissen (zeitbasiert oder auf andere Weise) kann eine äußerst entmutigende Aufgabe sein. Schauen Sie sich einfach Ihre Firewall-Syslogs im Debug-Modus an, wenn Sie mir nicht glauben. Und das nur von einem Gerät! Ein SIEM-Prozess fügt diese Protokolldateien in eine Reihe logischer Ereignisse ein, wodurch es viel einfacher wird, herauszufinden, was passiert ist.
Um ein besseres Verständnis des Wie zu erhalten, ist es hilfreich, Penetrationsmethoden zu studieren .
Es ist auch hilfreich zu wissen, wie ein Virus geschrieben wird. Oder wie man ein Rootkit schreibt .
Es kann auch äußerst vorteilhaft sein, einen Honigtopf einzurichten und zu studieren .
Es ist auch hilfreich, einen Protokollparser zu haben und sich damit vertraut zu machen.
Es ist hilfreich, eine Basis für Ihr Netzwerk und Ihre Systeme zu erstellen. Was ist "normaler" Verkehr in Ihrer Situation im Vergleich zu "abnormalem" Verkehr?
CERT bietet eine hervorragende Anleitung, was zu tun ist, nachdem Ihr Computer gehackt wurde, insbesondere (was sich direkt auf Ihre spezifische Frage bezieht) den Abschnitt "Analysieren des Eindringens":
Es gibt viele ähnliche Fragen wie Sie, die auf SF gestellt wurden:
Dies kann ein äußerst komplizierter und komplizierter Prozess sein. Die meisten Leute, ich eingeschlossen, würden nur einen Berater einstellen, wenn er mehr involviert wäre, als meine SIEM-Geräte zusammenstellen könnten.
Und es scheint, wenn Sie jemals zu wollen , voll verstehen , wie Ihre Systeme gehackt wurden, müssen Sie verbringen Jahre sie studieren und Frauen geben.
quelle
Die Antwort auf dieses eine bisschen kann eine Million Meilen breit und hoch sein, und das Aufheben der Auswahl eines gehackten Servers kann fast wie eine Kunstform sein, also werde ich wieder eher Ausgangspunkte und Beispiele als einen endgültigen Satz nennen von Schritten zu folgen.
Beachten Sie, dass Sie nach einem Eingriff Ihren Code, Ihre Systemadministration / -konfiguration und -prozeduren mit dem Wissen prüfen können, dass dort definitiv eine Schwachstelle vorliegt. Das hilft mehr, die Motivation zu fördern, als nach einer theoretischen Schwäche zu suchen, die möglicherweise vorhanden ist oder nicht. Sehr oft stellen Leute Sachen online, während sie wissen, dass der Code etwas schwieriger hätte geprüft werden können, wenn wir nur die Zeit hätten; oder das System ist etwas fester verriegelt, wenn es nur nicht so unpraktisch wäre; oder Verfahren, die etwas enger gefasst wurden, wenn es für den Chef nicht so störend wäre, sich lange Passwörter zu merken. Wir alle wissen, wo unsere wahrscheinlichsten Schwachstellen liegen. Beginnen Sie also mit diesen.
In einer idealen Welt werden Protokolle auf einem anderen (hoffentlich nicht gefährdeten) Syslog- Server gespeichert , nicht nur von Servern, sondern auch von Firewalls, Routern usw., die auch den Datenverkehr protokollieren. Es gibt auch Tools wie Nessus , mit denen ein System analysiert und nach Schwachstellen gesucht werden kann.
Für Software / Framworks von Drittanbietern gibt es häufig Best-Practice-Anleitungen, mit denen Sie Ihre Bereitstellung überwachen können, oder Sie widmen den Sicherheitsnachrichten und Patch-Zeitplänen mehr Aufmerksamkeit und decken einige Lücken auf, die möglicherweise verwendet wurden.
Schließlich hinterlassen die meisten Eingriffe einen Spoor ... wenn Sie die Zeit und Geduld haben, ihn zu finden. "Drive by" -Skript-Kiddie-Intrusionen oder Einbrüche mit Hacking-Toolkits konzentrieren sich in der Regel auf häufig auftretende Schwachstellen und können ein Muster hinterlassen, das Sie in die richtige Richtung weist. Die am schwierigsten zu analysierende Sache kann ein manuell gesteuertes Eindringen sein (z. B. wollte jemand nicht "eine" Website hacken, sondern "Ihre" Website speziell hacken), und dies sind natürlich die wichtigsten Dinge, die zu verstehen sind.
Für jemanden, der wirklich nicht weiß, wo er anfangen soll (oder sogar für erfahrene Leute, die andere Aufgaben haben), besteht der erste Schritt darin, wahrscheinlich jemanden einzustellen, der über gute Erfahrungen mit den oben genannten Schritten verfügt. Ein weiterer Vorteil dieses Ansatzes besteht darin, dass sie Ihr Setup ohne vorgefasste Vorstellungen oder persönlichen Anteil an den Antworten betrachten.
quelle
"Ich weiß, dass Sie in den Server-Protokolldateien nachsehen können, aber als Angreifer würde ich als erstes die Protokolldateien löschen."
Abhängig von der Art des Kompromisses verfügt der Angreifer möglicherweise nicht über ausreichend hohe Berechtigungen auf dem gefährdeten Server, um Protokolle löschen zu können. Es wird auch empfohlen, Serverprotokolle auf einem anderen Server zu speichern, um Manipulationen zu verhindern (die in bestimmten Intervallen automatisch exportiert werden).
Über die gefährdeten Serverprotokolle hinaus gibt es noch Netzwerkprotokolle (Firewall, Router usw.) sowie Authentifizierungsprotokolle vom Verzeichnisdienst, falls vorhanden (Active Directory, RADIUS usw.).
Das Betrachten von Protokollen ist also immer noch eines der besten Dinge, die getan werden können.
Wenn ich mich mit einer kompromittierten Box befasse, ist das Durchsuchen von Protokollen immer eine meiner wichtigsten Methoden, um das Geschehene zusammenzusetzen.
-Josh
quelle