Saldırıya uğramış bir sunucunun nasıl saldırıya uğradığını bulma

11

Sadece siteye göz atıyordum ve şu soruyu buldum: Sunucum ACİL DURUMDA hacklendi . Temel olarak soru şöyle diyor: Sunucum saldırıya uğradı. Ne yapmalıyım?

En iyi cevap mükemmel ama aklımda bazı sorular ortaya çıktı. Önerilen adımlardan biri:

Saldırıların güvenliğinizi tehlikeye atmada nasıl başarılı olduğunu anlamak için 'saldırıya uğrayan' sistemleri inceleyin. Gelecekte sisteminizi güvenli hale getirmek için hangi sorunların olduğunu ve ele almanız gerektiğini anlamanız için saldırıların nereden geldiğini bulmak için her türlü çabayı gösterin.

Sistem yöneticisi işi yapmadım, bu yüzden bunu yapmaya nasıl başlayacağım konusunda hiçbir fikrim yok. İlk adım ne olurdu? Sunucu günlük dosyalarına bakabileceğinizi biliyorum ama bir saldırgan olarak ilk yapacağım şey günlük dosyalarını silmek olacaktır. Saldırıların nasıl başardığını nasıl anlarsınız?

security 
sixtyfootersdude
kaynak
Birkaç 'hack' sunucu gördüm ve bunlardan tek bir günlükleri silmiş değildi; Yine de sık sık gerçekleştiğini biliyorum. Saldırganın genellikle birincil hedefi vardır (verileri çalmak veya sunucuyu proxy / aracı olarak yaygın olarak kullanmak) ve girişlerini gizlemek ikincil bir hedeftir.
Chris S
IMHO kendimize bir sunucuyu nasıl daha iyi güvenceye alabileceğimizi ve onu nasıl doğru denetleyeceğimizi sormak daha iyi olurdu.
tmow
Bu gün ve yaş "saldırıya uğramış" sunucu genellikle günlükleri nadiren silen otomatik komut dosyası kiddie araçlarından, çoğu zaman kendilerini gizlemek için bile az girişimde bulunur.
Sirex

Yanıtlar:

11

Bunu söyleyerek başlayacağım, eğer günlük kaydı dosyalarınız yoksa, saldırının nerede veya nasıl başarılı olduğunu ASLA anlamadığınız için oldukça iyi bir şans var . Tam ve doğru günlük dosyalarıyla bile, kim, ne, nerede, ne zaman, neden ve nasıl olduğunu tam olarak anlamak son derece zor olabilir.

Böylece, günlük dosyalarının ne kadar önemli olduğunu bilerek, onları ne kadar güvenli tutmanız gerektiğini anlamaya başlarsınız. Bu nedenle şirketler Güvenlik Bilgi ve Etkinlik Yönetimi veya SIEM'e kısaca yatırım yaparlar ve yatırım yapmalıdırlar .

SİEM

Özetle, tüm günlük dosyalarınızı belirli olaylarla (zamana dayalı veya başka türlü) ilişkilendirmek son derece göz korkutucu bir görev olabilir. Bana inanmıyorsanız, hata ayıklama modunda güvenlik duvarı sistem günlüğünüze bir göz atın. Ve bu sadece bir cihazdan! Bir SIEM işlemi, bu günlük dosyalarını, ne olduğunu anlamayı ve anlaşılmasını çok daha kolay hale getiren bir dizi mantıksal olay haline getirir.

Nasıl olduğunu daha iyi anlamaya başlamak için, penetrasyon yöntemlerini incelemek yararlıdır .

Bir virüsün nasıl yazıldığını bilmek de yararlıdır . Veya bir rootkit nasıl yazılır .

Bir bal küpü kurmak ve incelemek de son derece faydalı olabilir .

Aynı zamanda bir günlük ayrıştırıcıya sahip olmak ve onunla yetkin olmak için yardımcı olur .

Ağınız ve sistemleriniz için bir temel toplamak yararlıdır. Durumunuzdaki "normal" trafik ile "anormal" trafik arasındaki fark nedir?

CERT , bilgisayarınızın saldırıya uğramasından sonra ne yapılacağı konusunda mükemmel bir kılavuza sahiptir (en önemlisi (doğrudan özel sorunuzla ilgilidir) "İzinsiz girişi analiz etme" bölümü:

  • Sistem yazılımı ve yapılandırma dosyalarında yapılan değişiklikleri arayın
  • Verilerde değişiklik olup olmadığına bakın
  • Davetsiz misafirin geride bıraktığı araçları ve verileri arayın
  • Günlük dosyalarını inceleme
  • Bir ağ dinleyicisi belirtileri arayın
  • Ağınızdaki diğer sistemleri kontrol edin
  • Uzak sitelerde yer alan veya etkilenen sistemleri kontrol edin

Sizinkine benzer, SF'de sorulan birçok soru var:

  1. Bir sunucu hackinin ölüm sonrası nasıl yapılır
  2. Hosts Dosyasındaki ve Netstat'taki Tuhaf Öğeler
  3. bu bir saldırı girişimi mi?
  4. Linux'u bilgisayar korsanlığı veya güvenlik açısından nasıl öğrenebilirim

Bu son derece kıvrımlı ve ilgili bir süreç olabilir. Ben dahil çoğu insan, SIEM cihazlarımın bir araya getirebileceğinden daha fazla sürece dahil olsaydı, bir danışman kiralardı.

Hiç istiyorlarsa, görünüşe göre, TAMAMEN sizin sistemlerini hack edildi anlamak, harcamak zorunda yıl bunları okuyan ve kadınları vazgeçmek.

GregD
kaynak
SIEM ile zemini döşemeden +1
Rob Moir
Üzgünüm. Benim cevabım şu anda her yerde. Yazmaya 04: 00'da başladım ve kahvem IV henüz yerine koyulmadı.
GregD
2

Bunun cevabı bir milyon mil genişliğinde ve yüksek olabilir ve saldırıya uğramış bir sunucuya olanları açmak neredeyse her şey kadar bir sanat formu olabilir, bu yüzden yine kesin bir set yerine başlangıç ​​noktaları ve örnekler vereceğim izlemeniz gereken adımlar.

Akılda tutulması gereken bir şey, bir saldırı ile karşılaştığınızda, kodunuzu, sistem yönetiminizi / yapılandırmanızı ve prosedürlerinizi orada kesinlikle bir zayıflık olduğu bilgisiyle denetleyebilirsiniz. Bu, orada olabilecek veya olmayabilecek teorik bir zayıflık aramaktan ziyade motivasyonu artırmaya yardımcı olur. Çoğu zaman insanlar, zamanımız olsaydı, kodun biraz daha zor denetlenebileceğini bilerek çevrimiçi şeyler koyarlar; veya sistem bu kadar rahatsız edici olmasaydı, biraz daha sıkıca kilitlendi; veya prosedürler, patronun uzun şifreleri hatırlaması bu kadar rahatsız olmasaydı, biraz daha sıkı hale getirdi. Hepimiz en olası zayıf noktalarımızın nerede olduğunu biliyoruz, bu yüzden onlarla başlayın.

İdeal bir dünyada, farklı bir (umarım tehlikeye atılmamasını) saklanan günlükleri olacak syslog sunucularından değil, aynı zamanda trafik günlüğü herhangi bir güvenlik duvarı, yönlendiriciler vb değil sadece, sunucuya. Nessus gibi bir sistemi analiz edebilen ve zayıflıkları araştıran araçlar da mevcuttur.

Üçüncü taraflardan gelen yazılımlar / çerçeveler için, dağıtımınızı denetlemek için kullanabileceğiniz en iyi uygulama kılavuzları vardır veya güvenlik haberlerine ve yama programlarına daha fazla dikkat edebilir ve kullanılmış olabilecek bazı delikleri açabilirsiniz.

Son olarak, çoğu saldırı bir spoor bırakır ... bulmak için zamanınız ve sabrınız varsa. "Drive by" komut dosyası kiddie saldırıları ya da bilgisayar korsanlığı araç kitlerini kullanarak kırılma, genel zayıflıklara odaklanma eğilimindedir ve sizi doğru yönde gösteren bir desen bırakabilir. Analiz edilmesi gereken en zor şey manuel yönlendirilmiş bir saldırı olabilir (örneğin, birisi "bir" web sitesini hacklemek istemedi, bunun yerine "web sitenizi özel olarak hacklemek istedi") ve bunlar elbette anlaşılması gereken en önemli şeylerdir.

Nereden başlayacağını gerçekten bilmeyen biri için (hatta başka görevleri olan deneyimli insanlar için) ilk adım muhtemelen yukarıdaki adımlarda iyi deneyime sahip birini işe almaktır. Bu yaklaşımın bir başka avantajı da, önceden düşünülmüş kavramlar veya cevaplardaki kişisel paylar olmadan kurulumunuza bakacaklarıdır.

Rob Moir
kaynak
1
+1 Aslında, önlemenin savaşmaktan daha iyi olduğunu da ekleyeceğim, bu aynı zamanda bir günün olmasını önlemek anlamına da geliyor. Bu nedenle, ilk bakışta sorun gidermeyi basitleştirmek ve etkileri azaltmak için bir stratejiye sahip olmak önemlidir.
tmow
1

"Sunucu günlük dosyalarına bakabileceğinizi biliyorum ama bir saldırgan olarak ilk yapacağım şey günlük dosyalarını silmek olacaktır."

Uzlaşma türüne bağlı olarak, saldırganın güvenliği aşılan sunucuda günlükleri silebilecek kadar yüksek ayrıcalıkları olmayabilir. Kurcalamayı önlemek için sunucu günlüklerinin başka bir sunucuda offbox olarak tutulması da en iyi uygulamadır (belirli aralıklarla otomatik olarak dışa aktarılır).

Güvenliği aşılan Sunucu günlüklerinin ötesinde, hâlâ ağ günlükleri (Güvenlik Duvarı, Yönlendirici vb.) Ve varsa dizin hizmetinden kimlik doğrulama günlükleri (Active Directory, RADIUS, vb.) Vardır.

Günlüklere bakmak hala yapılabilecek en iyi şeylerden biridir.

Güvenliği ihlal edilmiş bir kutu ile uğraşırken, günlükleri elemek her zaman olanları bir araya getirmenin en önemli yollarından biridir.

-Josh

Josh Tarayıcı
kaynak
Geçen dönem bir sınıf için çok sınırlı log analizleri yaptım. Büyük bir günlük dosyasındaki deliği nasıl bulursunuz? Son girişlere bakar mısın? Şüpheli girişleri nasıl tanımlarsınız?
sixtyfootersdude
Şüpheli girişleri nasıl tanımlarsınız? ideal olarak karşılaştırma için günlük geçmişlerini tutarak ve / veya şüpheli olmayan girişlerin neye benzediğini bilmek için onları sık sık inceleyerek normal günlük işleri ortadan kaldırabilir ve kalanlara yakından bakabilirsiniz.
Rob Moir
1
Moir ile hemfikirim. Sistem yöneticisi, bir hizmetin ne zaman çalışmaması gerektiğini bilmesi için sistemi yeterince iyi bilmelidir. Bazı şüpheli günlük girişlerini bulmak gerçekten kolaydır, çünkü bıraktıkları belirli bir imzaya sahiptirler (örneğin Nimda tarama), diğer günlük girişlerinde ise yasal olup olmadığı yalnızca daha fazla bağlam belirleyecektir.
Josh Brower
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.