Was sind die Hauptschritte bei der forensischen Analyse der Linux-Box, nachdem sie gehackt wurde?
15
Was sind die Hauptschritte bei der forensischen Analyse der Linux-Box, nachdem sie gehackt wurde?
Nehmen wir an, es handelt sich um einen generischen Linux-Server namens mail / web / database / ftp / ssh / samba. Und es begann, Spam zu versenden, andere Systeme zu scannen. Wie kann man nach Wegen suchen, wie Hack gemacht wurde, und wer ist dafür verantwortlich?
Hier sind einige Dinge, die Sie vor dem Neustart ausprobieren sollten:
Wenn Sie der Meinung sind, dass Sie gefährdet sind, ziehen Sie zunächst das Netzwerkkabel ab, damit das Gerät keinen weiteren Schaden anrichten kann.
Dann, wenn möglich, von einem Neustart abzusehen , können so viele Spuren eines Eindringlings durch einen Neustart entfernt werden.
Wenn Sie vorausgedacht haben und über eine Remote-Protokollierung verfügen , verwenden Sie Ihre Remote-Protokolle und nicht die Protokolle auf dem Computer, da es allzu einfach für jemanden ist, die Protokolle auf dem Computer zu manipulieren. Wenn Sie jedoch keine Remote-Protokolle haben, überprüfen Sie die lokalen Protokolle gründlich.
Überprüfen Sie dmesg , da dies auch beim Neustart ersetzt wird.
Unter Linux können Programme ausgeführt werden - auch nachdem die ausgeführte Datei gelöscht wurde. Überprüfen Sie dies mit der Befehlsdatei / proc / [0-9] * / exe | grep "(gelöscht)" . (Diese verschwinden natürlich beim Neustart). Wenn Sie eine Kopie des laufenden Programms auf der Festplatte speichern möchten, verwenden Sie / bin / dd if = / proc / filename / exe of = filename
Wenn Sie gute Kopien von who / ps / ls / netstat gekannt haben , verwenden Sie diese Tools, um zu überprüfen, was auf der Box vor sich geht. Wenn ein Rootkit installiert wurde, werden diese Dienstprogramme normalerweise durch Kopien ersetzt, die keine genauen Informationen liefern.
Das Problem ist, wie man herausfindet, ob Ihre Kopien von ps / ls / ... gut sind. Sie könnten ihre md5sum überprüfen, aber andererseits kann md5sum auch ersetzt worden sein.
Amarillion
2
Ich behalte eine zweite Kopie dieser kritischen Dateien (und md5sum) zusammen mit den md5sums der Originale auf allen unseren Systemen. Dann habe ich Nagios manuell ihre MD5-Summen für eine Übereinstimmung jede Stunde überprüfen.
Brent,
8
Das hängt ganz davon ab, was gehackt wurde, aber im Allgemeinen
Überprüfen Sie die Zeitstempel von Dateien, die nicht ordnungsgemäß geändert wurden, und vergleichen Sie diese Zeiten mit ssh (in / var / log / auth *) und ftp (in / var / log / vsftp *, wenn Sie vsftp als Server verwenden) Finden Sie heraus, welches Konto kompromittiert wurde und von welcher IP der Angriff kam.
Sie können wahrscheinlich herausfinden, ob das Konto brutal erzwungen wurde, wenn es auf demselben Konto viele erfolglose Anmeldeversuche gab. Wenn es für dieses Konto keine oder nur wenige fehlgeschlagene Anmeldeversuche gab, wurde das Kennwort wahrscheinlich auf andere Weise ermittelt, und der Eigentümer dieses Kontos benötigt einen Vortrag zum Thema Kennwortsicherheit.
Wenn die IP von irgendwo in der Nähe ist, kann es sich um einen "Insider-Job" handeln.
Wenn der Root-Account kompromittiert wurde, haben Sie natürlich große Probleme, und ich würde die Box, wenn möglich, von Grund auf neu formatieren und neu erstellen. Natürlich sollten Sie trotzdem alle Passwörter ändern.
Sie müssen alle Protokolle der laufenden Anwendungen überprüfen. Beispielsweise können Apache-Protokolle Aufschluss darüber geben, wie ein Hacker beliebige Befehle auf Ihrem System ausführen kann.
Überprüfen Sie auch, ob Prozesse ausgeführt werden, die Server scannen oder Spam senden. In diesem Fall kann Ihnen der Unix-Benutzer, von dem aus sie ausgeführt werden, mitteilen, wie Ihre Box gehackt wurde. Wenn es sich um WWW-Daten handelt, wissen Sie, dass es sich um Apache usw. handelt.
Beachten Sie, dass manchmal einige Programme wie psersetzt werden ...
Sie sollten heruntergefahren wird , schließen Sie die Festplatte auf eine Lese einzige Schnittstelle (es ist eine spezielle IDE oder SATA oder USB, etc ... Schnittstelle , die keine Schreibvorgänge erlaubt, so etwas wie folgt aus : http: //www.forensic- computers.com/handBridges.php ) und mache ein genaues Duplikat mit DD.
Sie können es auf einer anderen Festplatte oder auf einem Disk-Image ausführen.
Bewahren Sie diese Festplatte dann an einem sicheren Ort auf, ohne sie zu manipulieren!
Später können Sie diese geklonte Festplatte oder das Image in Ihren forensischen Computer einstecken. Wenn es sich um einen Datenträger handelt, sollten Sie ihn über eine schreibgeschützte Schnittstelle anschließen. Wenn Sie mit einem Image arbeiten möchten, hängen Sie ihn "schreibgeschützt" ein.
Dann können Sie immer wieder daran arbeiten, ohne Daten zu ändern ...
Zu Ihrer Information, es gibt "gehackte" Systembilder im Internet zum Üben, so dass Sie forensische Untersuchungen "zu Hause" durchführen können ...
PS: Was ist mit dem heruntergekommenen gehackten System? Wenn ich denke, dass das System kompromittiert ist, würde ich es nicht angeschlossen lassen, eine neue Festplatte dort ablegen und ein Backup wiederherstellen oder einen neuen Server in Betrieb nehmen, bis die Forensik abgeschlossen ist ...
Hier sind einige Gründe, die für mich sinnvoll sind:
Beurteilen Sie den Schaden
Finde heraus, wie sie reingekommen sind
Stellen Sie fest, ob es sich um einen Insider-Job handelt
Oft macht es keinen Sinn, darüber hinauszugehen. Die Polizei kümmert sich oft nicht darum, und wenn, würde sie Ihre Hardware beschlagnahmen und ihre eigene forensische Analyse durchführen.
Je nachdem, was Sie herausfinden, können Sie Ihr Leben möglicherweise erheblich erleichtern. Wenn ein SMTP-Relay kompromittiert wird und Sie feststellen, dass dies auf einen fehlenden Patch zurückzuführen ist, der von einer externen Partei ausgenutzt wurde, sind Sie fertig. Installieren Sie die Box neu, patchen Sie, was immer Sie patchen möchten, und fahren Sie fort.
Wenn das Wort "Forensik" verwendet wird, haben die Menschen oft Visionen von CSI und denken darüber nach, alle möglichen qualvollen Details darüber herauszufinden, was passiert ist. Es kann sein, aber machen Sie es nicht zu einem riesigen Aufzug, wenn Sie nicht müssen.
Es ist meine Arbeitgeberpolitik, dies zu untersuchen.
Kazimieras Aliulis
Aus der Sicht eines Systemadministrators geht es in der Forensik nicht um Schuldzuweisungen oder rechtliche Probleme, sondern um Patches und bessere Sicherheit
Brent,
0
Ich habe die anderen Antworten nicht gelesen, aber ich würde ein Geisterbild davon machen, um die Beweise zu bewahren und nur das Bild zu untersuchen ... vielleicht ...
Ich empfehle dringend, " Dead Linux Machines Do Tell Tales ", einen Artikel des SANS Institute, zu lesen . Es ist aus dem Jahr 2003, aber die Informationen sind noch heute wertvoll.
Das hängt ganz davon ab, was gehackt wurde, aber im Allgemeinen
Überprüfen Sie die Zeitstempel von Dateien, die nicht ordnungsgemäß geändert wurden, und vergleichen Sie diese Zeiten mit ssh (in / var / log / auth *) und ftp (in / var / log / vsftp *, wenn Sie vsftp als Server verwenden) Finden Sie heraus, welches Konto kompromittiert wurde und von welcher IP der Angriff kam.
Sie können wahrscheinlich herausfinden, ob das Konto brutal erzwungen wurde, wenn es auf demselben Konto viele erfolglose Anmeldeversuche gab. Wenn es für dieses Konto keine oder nur wenige fehlgeschlagene Anmeldeversuche gab, wurde das Kennwort wahrscheinlich auf andere Weise ermittelt, und der Eigentümer dieses Kontos benötigt einen Vortrag zum Thema Kennwortsicherheit.
Wenn die IP von irgendwo in der Nähe ist, kann es sich um einen "Insider-Job" handeln.
Wenn der Root-Account kompromittiert wurde, haben Sie natürlich große Probleme, und ich würde die Box, wenn möglich, von Grund auf neu formatieren und neu erstellen. Natürlich sollten Sie trotzdem alle Passwörter ändern.
quelle
Sie müssen alle Protokolle der laufenden Anwendungen überprüfen. Beispielsweise können Apache-Protokolle Aufschluss darüber geben, wie ein Hacker beliebige Befehle auf Ihrem System ausführen kann.
Überprüfen Sie auch, ob Prozesse ausgeführt werden, die Server scannen oder Spam senden. In diesem Fall kann Ihnen der Unix-Benutzer, von dem aus sie ausgeführt werden, mitteilen, wie Ihre Box gehackt wurde. Wenn es sich um WWW-Daten handelt, wissen Sie, dass es sich um Apache usw. handelt.
Beachten Sie, dass manchmal einige Programme wie
ps
ersetzt werden ...quelle
Naaah!
Sie sollten heruntergefahren wird , schließen Sie die Festplatte auf eine Lese einzige Schnittstelle (es ist eine spezielle IDE oder SATA oder USB, etc ... Schnittstelle , die keine Schreibvorgänge erlaubt, so etwas wie folgt aus : http: //www.forensic- computers.com/handBridges.php ) und mache ein genaues Duplikat mit DD.
Sie können es auf einer anderen Festplatte oder auf einem Disk-Image ausführen.
Bewahren Sie diese Festplatte dann an einem sicheren Ort auf, ohne sie zu manipulieren!
Später können Sie diese geklonte Festplatte oder das Image in Ihren forensischen Computer einstecken. Wenn es sich um einen Datenträger handelt, sollten Sie ihn über eine schreibgeschützte Schnittstelle anschließen. Wenn Sie mit einem Image arbeiten möchten, hängen Sie ihn "schreibgeschützt" ein.
Dann können Sie immer wieder daran arbeiten, ohne Daten zu ändern ...
Zu Ihrer Information, es gibt "gehackte" Systembilder im Internet zum Üben, so dass Sie forensische Untersuchungen "zu Hause" durchführen können ...
PS: Was ist mit dem heruntergekommenen gehackten System? Wenn ich denke, dass das System kompromittiert ist, würde ich es nicht angeschlossen lassen, eine neue Festplatte dort ablegen und ein Backup wiederherstellen oder einen neuen Server in Betrieb nehmen, bis die Forensik abgeschlossen ist ...
quelle
Nehmen Sie einen Speicherauszug und analysieren Sie ihn mit einem speicherforensischen Tool wie Second Look .
quelle
Sie sollten sich zuerst fragen: "Warum?"
Hier sind einige Gründe, die für mich sinnvoll sind:
Oft macht es keinen Sinn, darüber hinauszugehen. Die Polizei kümmert sich oft nicht darum, und wenn, würde sie Ihre Hardware beschlagnahmen und ihre eigene forensische Analyse durchführen.
Je nachdem, was Sie herausfinden, können Sie Ihr Leben möglicherweise erheblich erleichtern. Wenn ein SMTP-Relay kompromittiert wird und Sie feststellen, dass dies auf einen fehlenden Patch zurückzuführen ist, der von einer externen Partei ausgenutzt wurde, sind Sie fertig. Installieren Sie die Box neu, patchen Sie, was immer Sie patchen möchten, und fahren Sie fort.
Wenn das Wort "Forensik" verwendet wird, haben die Menschen oft Visionen von CSI und denken darüber nach, alle möglichen qualvollen Details darüber herauszufinden, was passiert ist. Es kann sein, aber machen Sie es nicht zu einem riesigen Aufzug, wenn Sie nicht müssen.
quelle
Ich habe die anderen Antworten nicht gelesen, aber ich würde ein Geisterbild davon machen, um die Beweise zu bewahren und nur das Bild zu untersuchen ... vielleicht ...
quelle
Ich empfehle dringend, " Dead Linux Machines Do Tell Tales ", einen Artikel des SANS Institute, zu lesen . Es ist aus dem Jahr 2003, aber die Informationen sind noch heute wertvoll.
quelle