Bir sunucu hack sonrası ölüm yapmak nasıl


29

Üzerinde IIS6, SQL Server 2005, MySQL 5 ve PHP 4.3 yüklü bir Windows Server 2003 SP2 makinesi var. Bu bir üretim makinesi değil, bir etki alanı adıyla dünyaya maruz kalıyor. Makinede uzak masaüstü etkin ve iki yönetici hesabı etkin.

Bu sabah, makinenin hala oturum açma metin kutusunda uknown kullanıcı adıyla oturum kapatıldığını öğrendim. Daha fazla araştırma üzerine iki pencere kullanıcısı oluşturulduğunu, antivirüsün kaldırıldığını ve bir sürü .exe dosyasının dağıldığını C: sürücüsüne düşürdüğümü gördüm.

Bilmek istediğim şey, bunun bir daha olmayacağından emin olmak için hangi adımları atmalıyım ve giriş yolunu belirlemeye odaklanmalıyım. Hangi portların açık olduğunu görmek için netstat -a komutunu kontrol ettim ve burada hiçbir şey garip görünmüyor. Giriş noktası olabileceğini düşündüğüm MySQL'in veri klasöründe bilinmeyen dosyaları buldum ama emin değilim.

Gelecekte bundan kaçınabilmem için bir sunucu hackinin ölümden sonra yapması için atılan adımları gerçekten takdir ediyorum.

Soruşturma Sonrası İnceleme

Bazı araştırmalardan sonra ne olduğunu öğrendim sanırım. Öncelikle, makine '08 Ağustos-Ekim '09 arasındaki zaman dilimi boyunca çevrimiçi olmamıştır. Bu süre zarfında bir güvenlik açığı, MS08-067 Güvenlik Açığı keşfedildi . "Bu bir uzaktan kod yürütme güvenlik açığıdır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan etkilenen bir sistemin denetimini uzaktan tümüyle ele geçirebilir. Microsoft Windows 2000 tabanlı, Windows XP tabanlı ve Windows Server 2003 tabanlı sistemlerde bir saldırgan yararlanabilir bu güvenlik açığı, RPC'de kimlik doğrulaması olmadan ve rasgele kod çalıştırabilir. " Bu güvenlik açığı, Ekim 2008'de çıkan KB958644 Güvenlik Güncelleştirmesi ile giderildi.

Makine o sırada çevrimdışı olduğu ve bu güncellemeyi kaçırdığı için, bu güvenlik açığının, Ekim 09’da makine yeniden çevrimiçi duruma geldikten kısa süre sonra yararlanıldığına inanıyorum. Ben virüslü bir sistemde çok tahribat yaratan bir arka kapı programı olarak tanımlanan bir bycnboy.exe programına referans buldum . Makine çevrimiçi olduktan kısa bir süre sonra, otomatik güncellemeler sistemin uzaktan kontrolünü alma yeteneğini kapatan yamayı kurdu. Arka kapı şimdi kapalı olduğundan, saldırganın makinede fiziksel hesaplar oluşturduğunu ve ne olduğunu fark edene kadar makineyi bir hafta daha kullanabileceğine inanıyorum.

Kötü niyetli kod, .exes ve .dlls saldırgan bir şekilde takip ettikten sonra, kendi kendini barındıran web sitelerini ve kullanıcı hesaplarını kaldırarak, makine şimdi tekrar çalışma durumundadır. Yakın gelecek için olayı tekrar edip etmeyeceğini belirlemek için sistemi izleyeceğim ve sunucu günlüklerini gözden geçireceğim.

Sağlanan bilgi ve adımlar için teşekkür ederiz.

Yanıtlar:


28

Ölüm sonrası yapmak kendi başına siyah bir sanattır. Her seferinde biraz farklı çünkü gerçekten hiçbir iki engel aynı değil. Bunu göz önünde bulundurarak, durumuma yönelik birkaç özel notla birlikte, önerilen işlemime temel bir bakış aşağıdadır:

  1. Makineyi fiziksel olarak ağdan ayırın. (Gerçekten. Şimdi yap.)
  2. İsteğe Bağlı Adım: Gelecekte kullanım için sabit sürücünün ikili bir kopyasını alın.
  3. Çıkarılabilir bir sabit sürücüye tüm günlük dosyalarının, değerli verilerin vb. Bir kopyasını alın.
    • İsteğe bağlı olarak bulduğunuz "bilgisayar korsanları" nı da kopyalayın
  4. Gerçek ölüm sonrası başlayın. Senin durumunda:
    • Yeni veya eksik kullanıcı hesaplarını not edin. Giriş klasörlerinin "ilginç" içeriğe sahip olup olmadığına bakın.
    • Yeni veya eksik programları / ikili dosyaları / veri dosyalarını not alın.
    • Önce MySQL günlüklerini kontrol edin - "olağandışı" herhangi bir şey arayın
    • Sunucu günlüklerinin geri kalanını kontrol edin. Oluşturulan yeni kullanıcıları, giriş yaptıkları adresleri vb. Bulabiliyor musunuz bir bakın.
    • Veri hasarı veya hırsızlığı kanıtı arayın
  5. Sorunun nedenini bulduğunuzda, bunun tekrar olmasını nasıl önleyeceğinizi not edin.
  6. Sunucuyu temizleyin: Her şeyi biçimlendirin ve yeniden yükleyin, verilerinizi geri yükleyin ve orijinal deliği # 5'ten notlarla doldurun.

Kolluk kuvvetlerine katılacaksanız, genellikle 2. adımı gerçekleştirirsiniz. 3. Adımı uygulayın; böylece 2. adımda yaptığınız görüntü kopyasını okumak zorunda kalmadan sunucu yeniden oluşturulduktan sonra bilgileri gözden geçirebilirsiniz.

4. adımın ne kadar ayrıntılı olacağı hedeflerinize bağlıdır: Sadece deliğe tıklamak değerli bir veri parçasını kimin çaldığını izlemekten farklı bir soruşturma şeklidir :)

6. Adım IMHO kritiktir. Uzlaşılmış bir ana bilgisayarı "düzeltmez": Silerek temizler ve iyi bilinen bir durumdan başlarsınız. Bu, saatli bir bomba olarak kutuda bırakılan bazı kötü nuggetleri kaçırmamanızı sağlar.

Bu kesinlikle tam bir ölüm sonrası taslak değildir. Bunu her zaman süreçte iyileştirmeler aradığım için topluluk wiki olarak işaretliyorum - Sık kullanmıyorum :-)


3
Böyle bir şey yapma konusunda hiçbir tecrübem yok, ancak soruşturma için bir makine görüntüleyecekseniz Security Monkey'in tavsiyesi elektrik kablosunu çekmek, sabit sürücüyü görüntülemek ve sonra araştırmaya başlamaktır. (Güvenlik Maymun: it.toolbox.com/blogs/securitymonkey )
MattB

1
Security Monkey öldü - Görüntüye gittiğinizde makineyi soğuk dondurmak (güç kablosunu yanmak) istiyorsunuz. kapatma ve / veya başlatma, kendi kendini imha etme veya temizleme kodunu açabilir ve görüntüyü açmadan önce gücü kesmesini önler.
voretaq7

2
Ayrıca - Netstat (veya dir, vb.) Gibi hack sistemindeki "yerleşik" komutların sonuçlarına güvenmemeniz gerektiğini söyleyebilirim. Yine, işletme düzeyinde doğrudan bir deneyimim yok ama hacklendiğimi hatırlıyorum Hack'in bir kısmının gerçekte neler olup bittiğini maskelemek için yerleşik aletlerin yerini aldığı kişisel makinelerde.
MattB

4
+1 adım 6 hayati önem taşıyor, netstat'ın gerçek ağ trafiğini analiz etmeden size gerçeği gösterip göstermediğini bilmiyorsunuz - ve kendi başına oldukça karmaşık ve sabır testi olabilir mi? Artık senin kutun değil. İstediğiniz görüntüyü analiz edin, ancak kahrolası makineyi silin;)
Oskar Duveborn

1
Muhtemelen her seferinde 2. adımı atmakta daha iyi olduğunuzu söyleyebilirim, çünkü soruşturmanız sırasında ne bulacağınızdan tam olarak emin değilsiniz. İkili görüntülere sahip olmak aynı zamanda her birinin bir kopyasını kullanarak farklı insanlara farklı şeylere bakabileceğiniz anlamına gelir.
Vatine
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.