Nachdem ich diese Frage zu einem Serverkompromiss gelesen hatte , begann ich mich zu fragen, warum die Leute immer noch glauben, dass sie ein kompromittiertes System mithilfe von Erkennungs- / Bereinigungs-Tools wiederherstellen können, oder indem sie einfach die Lücke schließen, die zur Kompromittierung des Systems verwendet wurde.
Angesichts all der verschiedenen Root-Kit-Technologien und anderer Dinge, die ein Hacker tun kann, schlagen die meisten Experten vor, dass Sie das Betriebssystem neu installieren sollten .
Ich hoffe, eine bessere Vorstellung davon zu bekommen, warum nicht mehr Leute das System aus dem Orbit entfernen und zerstören .
Hier ein paar Punkte, die ich angesprochen sehen möchte.
- Gibt es Bedingungen, unter denen eine Formatierung / Neuinstallation das System nicht bereinigen würde?
- Unter welchen Bedingungen kann ein System Ihrer Meinung nach gereinigt werden, und wann müssen Sie eine vollständige Neuinstallation durchführen?
- Welche Gründe sprechen gegen eine vollständige Neuinstallation?
- Wenn Sie sich gegen eine Neuinstallation entscheiden, können Sie mit welcher Methode sicher sein, dass Sie die Reinigung abgeschlossen haben und dass keine weiteren Schäden mehr auftreten.
Basierend auf einem Beitrag, den ich vor langer Zeit geschrieben habe, als ich mich noch mit dem Bloggen beschäftigen konnte.
Diese Frage wird immer wieder von den Opfern von Hackern gestellt, die in ihren Webserver eindringen. Die Antworten ändern sich sehr selten, aber die Leute stellen die Frage immer wieder. Ich bin mir nicht sicher warum. Vielleicht mögen die Leute die Antworten, die sie auf der Suche nach Hilfe gesehen haben, einfach nicht oder sie können niemanden finden, dem sie vertrauen, um ihnen Ratschläge zu geben. Oder vielleicht lesen die Leute eine Antwort auf diese Frage und konzentrieren sich zu sehr auf die 5%, warum ihr Fall besonders ist und sich von den Antworten unterscheidet, die sie online finden können, und verpassen die 95% der Frage und Antwort, wenn ihr Fall nahe genug gleich ist als die, die sie online lesen.
Das bringt mich zum ersten wichtigen Informationsnugget. Ich weiß wirklich zu schätzen, dass Sie eine besondere einzigartige Schneeflocke sind. Ich schätze, dass auch Ihre Website ein Spiegelbild von Ihnen und Ihrem Unternehmen oder zumindest Ihrer harten Arbeit im Auftrag eines Arbeitgebers ist. Aber für jemanden, der von außen nach innen schaut, sei es eine Person für Computersicherheit, die sich das Problem ansieht, um Ihnen zu helfen, oder sogar der Angreifer selbst, ist es sehr wahrscheinlich, dass Ihr Problem zu mindestens 95% mit jedem anderen Fall identisch ist, den sie haben jemals angeschaut.
Nimm den Angriff nicht persönlich und nimm nicht die Empfehlungen an, die hier folgen oder die du von anderen Leuten persönlich bekommst. Wenn Sie dies lesen, nachdem Sie Opfer eines Website-Hacks geworden sind, tut es mir wirklich leid, und ich hoffe, Sie können hier etwas Hilfreiches finden, aber dies ist nicht die Zeit, um Ihr Ego in die Quere zu bringen, was Sie brauchen machen.
Sie haben gerade herausgefunden, dass Ihre Server gehackt wurden. Was jetzt?
Keine Panik. Handeln Sie auf keinen Fall in Eile und tun Sie auf keinen Fall so, als ob etwas niemals passiert wäre und handeln Sie überhaupt nicht.
Erstens: Verstehe, dass die Katastrophe bereits passiert ist. Dies ist nicht die Zeit für die Ablehnung; Es ist an der Zeit zu akzeptieren, was passiert ist, realistisch zu sein und Schritte zu unternehmen, um die Folgen der Auswirkungen zu bewältigen.
Einige dieser Schritte werden weh tun, und (es sei denn, Ihre Website enthält eine Kopie meiner Daten) es ist mir wirklich egal, ob Sie alle oder einige dieser Schritte ignorieren, aber dies wird die Dinge am Ende verbessern. Das Medikament mag schrecklich schmecken, aber manchmal muss man das übersehen, wenn das Heilmittel wirklich wirken soll.
Verhindern Sie, dass sich das Problem verschlimmert:
Zögern Sie immer noch, diesen letzten Schritt zu tun? Ich verstehe, ich tue. Aber sieh es dir so an:
An einigen Stellen besteht möglicherweise die gesetzliche Verpflichtung, die Behörden und / oder die Opfer dieser Art von Datenschutzverletzung zu informieren. Wie verärgert Ihre Kunden auch sein mögen, wenn Sie sie über ein Problem informieren, sie sind viel verärgerter, wenn Sie es ihnen nicht mitteilen, und sie finden es erst heraus, nachdem jemand Waren im Wert von 8.000 USD mit den von ihnen angegebenen Kreditkartendaten belastet hat von Ihrer Website gestohlen.
Erinnerst du dich, was ich vorher gesagt habe? Das Schlimme ist schon passiert . Die Frage ist nur, wie gut Sie damit umgehen.
Verstehe das Problem vollständig:
Machen Sie einen Plan für die Wiederherstellung und bringen Sie Ihre Website wieder online und bleiben Sie dabei:
Niemand möchte länger offline sein als nötig. Das ist eine gegebene. Wenn diese Website ein Mechanismus ist, der Einnahmen generiert, ist der Druck, sie schnell wieder online zu stellen, sehr groß. Auch wenn das Einzige, was auf dem Spiel steht, der Ruf Ihres Unternehmens ist, erzeugt dies immer noch einen großen Druck, die Dinge schnell wieder in Ordnung zu bringen.
Geben Sie jedoch nicht der Versuchung nach, zu schnell wieder online zu gehen. Bewegen Sie sich stattdessen so schnell wie möglich, um zu verstehen, was das Problem verursacht hat, und um es zu lösen, bevor Sie wieder online gehen. Andernfalls werden Sie mit ziemlicher Sicherheit erneut einem Eingriff zum Opfer fallen. Sich gleich danach wieder hacken zu lassen, sieht nach Nachlässigkeit aus "(mit Entschuldigung an Oscar Wilde).
Das Risiko in Zukunft reduzieren.
Das Erste, was Sie verstehen müssen, ist, dass Sicherheit ein Prozess ist, den Sie über den gesamten Lebenszyklus des Entwerfens, Bereitstellens und Wartens eines mit dem Internet verbundenen Systems anwenden müssen, und nicht etwas, das Sie später wie billig über Ihren Code legen können Farbe. Um richtig sicher zu sein, müssen ein Dienst und eine Anwendung von Anfang an unter Berücksichtigung dieses Aspekts als eines der Hauptziele des Projekts konzipiert werden. Mir ist klar, dass das langweilig ist und Sie alles schon einmal gehört haben und dass ich den Druck, Ihren Beta-Web2.0 (Beta) -Dienst in den Beta-Status im Web zu versetzen, einfach nicht erkenne, aber die Tatsache ist, dass dies so bleibt wiederholt werden, weil es wahr war, als es das erste Mal gesagt wurde und es noch keine Lüge geworden ist.
Sie können das Risiko nicht ausschließen. Sie sollten nicht einmal versuchen, das zu tun. Was Sie jedoch tun sollten, ist zu verstehen, welche Sicherheitsrisiken für Sie wichtig sind und wie Sie sowohl die Auswirkungen des Risikos als auch die Wahrscheinlichkeit, dass das Risiko eintritt , verwalten und reduzieren können.
Welche Maßnahmen können Sie ergreifen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern?
Zum Beispiel:
Welche Maßnahmen können Sie ergreifen, um die Folgen eines erfolgreichen Angriffs zu verringern?
Wenn Sie der Meinung sind, dass das "Risiko" einer Überflutung in der unteren Etage Ihres Hauses hoch ist, aber nicht hoch genug, um einen Umzug zu rechtfertigen, sollten Sie zumindest die unersetzlichen Familienerbstücke nach oben bringen. Richtig?
... Und schlussendlich
Ich habe wahrscheinlich jede Menge Dinge ausgelassen, die andere für wichtig halten, aber die obigen Schritte sollten Ihnen zumindest dabei helfen, Dinge zu sortieren, wenn Sie das Pech haben, Hackern zum Opfer zu fallen.
Vor allem: Keine Panik. Denk nach bevor du handelst. Handle fest, sobald du eine Entscheidung getroffen hast, und hinterlasse unten einen Kommentar, wenn du meiner Liste der Schritte etwas hinzuzufügen hast.
quelle
Immer nuke es aus dem Orbit. Nur so können Sie sicher sein.
(Quelle: flickr.com )
Die meisten Systeme sind ganzheitliche Einheiten, die ein inneres, implizites Vertrauen haben. Vertrauen in ein kompromittiertes System ist eine implizite Aussage, dass Sie demjenigen vertrauen, der von Anfang an die Verletzung Ihres Systems begangen hat. Mit anderen Worten:
Du kannst es nicht glauben. Kümmere dich nicht um die Reinigung. Trennen und isolieren Sie die Maschine sofort. Verstehe die Art der Verletzung, bevor du fortfährst, ansonsten lädst du dasselbe noch einmal ein. Versuchen Sie, wenn möglich, das Datum und die Uhrzeit des Verstoßes zu ermitteln, damit Sie einen Referenzrahmen haben. Dies ist erforderlich, da Sie beim Wiederherstellen aus einer Sicherungskopie sicherstellen müssen, dass die Sicherungskopie selbst keine Kopie des Kompromisses enthält. Wischen Sie vor der Wiederherstellung - nehmen Sie keine Verknüpfungen.
quelle
In der Praxis tun es die meisten Leute nicht, weil sie denken, dass es zu lange dauern oder zu störend sein wird. Ich habe unzählige Kunden über die Wahrscheinlichkeit von anhaltenden Problemen informiert, aber eine Neuinstallation wird häufig von einem Entscheidungsträger aus einem dieser Gründe abgebrochen.
Davon abgesehen, auf Systemen, auf denen ich zuversichtlich bin, die Eingabemethode und das volle Ausmaß des Schadens zu kennen (solide Off-Machine-Protokolle, typischerweise mit einem IDS, vielleicht SELinux oder etwas Ähnliches, das den Umfang des Eindringens einschränkt) habe eine Bereinigung ohne Neuinstallation durchgeführt, ohne sich zu schuldig zu fühlen.
quelle
Höchstwahrscheinlich verfügen sie nicht über eine Notfallwiederherstellungsroutine, die ausreichend getestet wurde, um sich sicher zu sein, eine Wiederherstellung durchzuführen, oder es ist unklar, wie lange es dauern würde oder welche Auswirkungen die Auswirkungen haben würden ... oder Backups sind unzuverlässig oder ihre Risikoanalysten Ich verstehe den Umfang eines kompromittierten Systems nicht. Ich kann mir viele Gründe vorstellen.
Ich würde sagen, dass die grundlegenden Routinen und Richtlinien größtenteils falsch sind und dass Sie dies nicht offen zugeben möchten - stattdessen nehmen Sie eine defensive Haltung ein. Zumindest kann ich nicht sehen oder verteidigen, dass ich ein kompromittiertes System nicht abwische, egal aus welchem Blickwinkel Sie es betrachten.
quelle
Ich habe das System vorher nicht auf Kernkraft gebracht, damit ich den Vektor, auf den sie gekommen sind, und die nachfolgende Analyse der Verwendung analysieren und sehen kann, wo sie hineingekommen sind.
Wenn Sie einmal verwurzelt sind, verfügen Sie über einen Live-Honeypot, der viel mehr bietet als nur den Hack. - Besonders für die Polizei.
quelle