Ağ mı yoksa güç mi? (köklü bir sunucuyu değiştirmek için)

Bir sunucu köklendiğinde ( örneğin, böyle bir durum ), yapmaya karar verebileceğiniz ilk şeylerden biri sınırlamadır . Bazı güvenlik uzmanları derhal iyileştirme yapmamanızı ve adli tıp tamamlanıncaya kadar sunucuyu çevrimiçi tutmanızı önerir . Bu tavsiyeler genellikle APT içindir . Bazen Script kiddie ihlalleriniz varsa farklıdır , bu nedenle erken düzeltmeye (işleri düzeltmeye) karar verebilirsiniz. Düzeltme adımlarından biri sunucunun sınırlandırılmasıdır . Robert Moir'in cevabından alıntı - "kurbanı soyguncularından ayır".

Ağ kablosu veya güç kablosu çekilerek bir sunucu bulunabilir .

Hangi yöntem daha iyi?

Aşağıdakileri dikkate alarak:

1. Mağdurları daha fazla hasardan korumak
2. Başarılı adli tıp uygulamak
3. (Muhtemelen) Sunucudaki değerli verilerin korunması

Düzenleme: 5 varsayım

varsayarsak:

1. Erken tespit ettiniz: 24 saat.
2. Erken iyileşmek istersiniz: 3 günlük 1 sistem yöneticisi iş başında (adli tıp ve kurtarma).
3. Sunucu, Sanal Makine veya Kapsayıcı değil, sunucu belleğinin içeriğini yakalayan bir anlık görüntü alabilir.
4. Dava açmamaya karar veriyorsunuz.
5. Saldırganın bir çeşit yazılım (muhtemelen karmaşık) kullanıyor olabileceğinden ve bu yazılımın hala sunucuda çalıştığından şüpheleniyorsunuz.

Bir APT ile karşı karşıyaysanız, en iyi seçeneğiniz bir bal küpü kurmak ve sunucuyu izlemeye ek olarak içine ve dışına akan tüm trafiği iyice araştırmaktır.

Hafızadan geçmenin ölçüsü, zaman ve çaba açısından o kadar pahalıdır ki, diğer her yöntemi denemedikçe genellikle faydalı olmaz ve eğer buna değeceğini belirlerseniz, genellikle en iyisi kolayca dökmenizi sağlayan bir bal küpü kurmaktır. bellek ve sistem durumu anında başka bir makineye gönderilir, böylece makine çalışır durumdayken daha az tespit edilme tehdidi ile analiz yapabilirsiniz.

Saldırganın, günlükler dışında, makinenin kapatılıp tekrar açıldığında görüntüsüne tam olarak benzediği derecede bellekte her şeyi sakladığı bir durumum vardı. Daha sonra tekrar saldırıya uğrarlar ve tekrar kullanmaya başlarlar çünkü güvenlik açığı hala oradaydı - kendileri için herhangi bir arka oda bırakmaları gerekmiyordu. Bir bellek değerlendirmesi burada yardımcı olabilirdi, ancak bu durumda güvenlik açığını hızlı bir şekilde tanımlamak için trafiği izlemek yeterliydi.

Bu nedenle:

Gücü çekmekten ve çevrimdışı disk değerlendirmesi yapmaktan kaçınmanın tek nedeni, tehdidin yerinde ve çalışırken kapsamlı bir bellek analizi yapmanın acısını yaşamanızdır. Bunun gerekli olduğu noktaya geldiyseniz, her iki fişi de çekmek için bir neden yoktur.

Bir bellek analizi yapmıyorsanız, o zaman güç fişini çekmek en iyi seçenektir - ethernet'i çekmek (veya bir kapatma komutu kullanmak) sadece saldırganın yazılımına önceden bildirimde bulunacaktır - ki bu bazen önemlidir.

Yani:

Bellek analizi yapmıyorsanız ikisini de çekin, bu durumda da ikisini de çekmeyin.

RAM adli tıp (örn. / Dev / shm) yardımcı olabilir.

Ancak güç kablosunu çıkarmayı tercih ederim (ancak hemen giriş yapmayı ve rsync / proc'u deneyin).

Güç kablosuna gitme nedenleri:

1. Saldırıya uğramış bir sistemde adli tıp yaptığınızda "suç mahalline adım atıyorsunuz"
2. Kök kiti çalışmaya devam eder - kötü amaçlı yazılımın Network Link Down olayında bir şey yürütmesi (ör. Sistem silinmesi) için zor değildir .

Kyle Rankin, Adli Tıp konuşmasına hoş bir giriş yaptı - orada güç kablosunu çekmenizi tavsiye ediyor.

Ağ bağlantısını kesin. Ağ bağlantısı yoksa saldırgan ek bilgi alamaz. Güç olmadan herhangi bir adli tıp yapmak çok zor (okumak: imkansız).

Bu gün ve yaşta, bir Sanal Makine olabilir, böylece her iki yöntem de kolaydır ve hatta uzaktan yapılabilir. (Sanal makineler elbette anlık görüntüler kullanma olasılığını doğurur)

Otomatik bir ilk adım olarak ağ bağlantısını kesmenizi öneririm, çünkü bu size bir sonraki adımın ne olması gerektiğini, bir sonraki adımın güç kablosunu veya başka bir şeyi sorup çekmediğini düşünmek için zaman verir. Kurumsal "güvenlik yanıt prosedürlerinizin" makineyi ayrıntılı olarak incelemek için zaman harcamanıza izin vermeyeceğini biliyorsanız, RAM içeriğini korumak o kadar önemli olmayabilir.

"Kurbanı soyguncularından ayırmanın" herhangi bir şekilde yapılmasının nasıl yapılacağından daha önemli olduğunu, bu nedenle her iki yaklaşımın da geçerli olduğunu öneririm. Güç kablosunu kendim çekmeyle ilgili hiçbir sorunum yok, hadi bu şekilde koyalım.

Bu bir ya da durum değildir. Genellikle her ikisini de yapmak istersiniz - ağdan kaldırılmış bir sistemde belirli adli tıp (çalışan işlemler dökümü, dinleme yuvaları, / tmp içindeki dosyalar vb.) Ve ardından kalan tanılarınızı bir kasadan gerçekleştirmek istiyorsunuz. ortam (yani canlı bir CD). Bununla birlikte, her iki yaklaşımın da doğru olmadığı durumlar vardır ve bunların kuruluşunuzda neler olabileceğini düşünmeniz ve anlamanız gerekir.

Herhangi bir şey yapmadan önce, nihai bir kovuşturma için kanıt tutmanız gerekip gerekmediğini anlayın. Delil yönetimi çok zor bir konudur ve hafifçe eğitilmiş olanlar için değildir. Bunu cevapladıktan sonra, eğitimli bilgisayar adli tıp personeli oradan alabilir.

Sunucuyu kapatmaya gerek yok. Bağlantıyı sınır ağ geçidinden / yönlendiriciden devre dışı bırakabilirsiniz. Bir güvenlik duvarı kuralı gönderilen / alınan diğer paketleri atmak için yeterli olacaktır.

Cevap büyük ölçüde "köklü" ile ne demek istediğinize bağlıdır. Şebeke kablosunu çekmek genellikle iyi bir fikirdir, özellikle de bunun hassas bilgiler arayan aktif bir insan saldırganı olduğuna inanıyorsanız.

Gücü çekmenin cevabı çok daha zor. İzlerini kapsayabilecek kötü amaçlı kodların çalıştığını düşünüyorsanız bunu yapın. Bununla birlikte, hala bellekte bir kırılma olduğuna dair kanıtlar varsa, çalışır durumda bırakın.

Genel olarak, kötü amaçlı kod, hoşnutsuz personel veya belirli bir hedefi göz önünde bulunduran biriyle uğraştığınıza bağlıdır.

Dikkatli bir şekilde hatalıysa, gücü çekin. Az miktarda potansiyel kanıt kaybedersiniz, ancak otomatik kanıtla diğer kanıtların büyük ölçüde kaldırılmasını engelleyebilirsiniz.

- Eğer makine aşıldığını ve bunun üzerine hiçbir hassas verileri olduğunu biliyorum düşünüyorsanız Sonra tekrar, sen çok başka yerlerde şebeke güvenliğinin emin ve bunu yaparken sonuçlarını anlamak, belki kısa zamanda bir adli Boffin almak ve saldırıyı izleyip anlayamayacağınızı ve oradan gidip gelemeyeceğinizi görün. Yine de bu normalde iyi bir fikir değil

Cevabım düzenleme öncesi 5 varsayımla oldu.
Benim varsayımım, eğer sunucunuz kök salmışsa, sofistike, hedefli bir saldırganla uğraşıyorsanız ve saldırının ne zaman ve nereden geldiğini bilmenin hiçbir yolu olmadığıydı. (Makine köklü olduğundan, açıkçası size söylediği hiçbir şeye güvenemezsiniz. Bununla birlikte, kutudan çıkmış bazı bilgileriniz olabilir, örneğin IDS ...)
Saldırganınızla uğraşmakla ilgilendiğinizi ve sadece rahatsız edici bir sinek gibi onu. Eğer varsayılan saldırgan bir senaryo çocuğuysa, bu farklı olurdu. Ayrıca, saldırganın hedeflendiği ve sofistike olduğu için, makinenizde çalışan ve üzerindeki eylemlerinize yanıt verebilecek özel yazılımlara sahip olduklarını varsaydım ...

Ne.
Check out https://security.stackexchange.com/q/181/33 , her iki şekilde onun kötü bir fikir. Kara şövalyeye
birkaç bandaj vermek gibi ... çok az, çok geç, çok fazla yardımcı olmayacak.

Bu cevabın orada çok uzakta olduğunu ya da yeterince "güvenlik bilincine sahip" olmadığını düşünenler için - bunun çok geç olduğunu fark etmeniz gerekir .
Tamamen bağlantısını kesseniz bile artık sunucunuz değil. Kapatsanız bile, tüm AV'lerinizi çalıştırın ve her neyse - artık ona sahip değilsiniz.
Bu "köklü" nin tanımı.

Şimdi, sahip olduklarını ve sahipliklerini sizden gizleyebileceklerini varsayarsak, düşünmelisiniz - ağrının bağlantısını kesmek ne olacak? Sadece ne olursa olsun köklü devam edilecektir beri - - bu modernleşmek olacak şey düşman onlara konum bildirmek için olduğunu. Bu sadece gardiyanlarını koyar ve adli tıp umudunu öldürecek olan kendilerinden sonra temizlemeye başlamalarını sağlar. Hâlâ bu sunucuyu veya herhangi bir verisini korumuyorsunuz. Ne kadar gelmiştir mu köklü? Nasıl bilebilirsin?

Yapmanız daha iyi olan şey:

• Sunucuyu çalışır durumda bırakın ...
• Dahili ağınızın geri kalanından, diğer sunuculardan vb. İzole edin - ancak bir çeşit simülasyon takmak en iyisidir, bu yüzden bağlı görünüyor .
• Sessizce gerçek zamanlı / ağ adli tıpına başlayın, izleri çalıştırın vb.
• Hasarın kapsamını ve uzunluğunu anlamaya çalışın (2 saat önce veya 2 ay önce gerçekleşirse açıkça farklıdır).
• Oradan devam edin ... Sadece asıl hasarı azalttıktan sonra devam edin ve temizleyin.
• Tabii ki kök nedenleri araştırmayı ve tekrar olmamasını sağlamak için ne olursa olsun kontrol etmeyi unutmayın ...

Varsayımlarınızı gözden geçirdikten sonra her ikisini de yapın. Geçerli durumu boşaltmak için CD / DVD tabanlı bir ortam kullanın. Öncelikle nasıl ele geçirildiğini tespit edebilmek isteyeceksin. Yedek resimlerinizde olmayan kullanıcı verilerini kurtarmayı da deneyebilirsiniz. Yo

Ardından, sistemi kirlenmemiş en son yedekleme ortamından yeniden oluşturun. Mümkünse bunu sağlama toplamlarıyla doğrulayın. Alternatif olarak, yazılımı yükleme ortamından yeniden yükleyin ve yeniden yapılandırın. Sunucunuzu yapılandırmak için Kukla veya cfEngine kullanıyorsanız yeniden yapılandırma otomatik olmalıdır.

Kullanıcı verilerini yeniden yükleyin ve kök kiti bileşenlerini tarayın. Veri dizinlerinde setuid veya setgid programlarınızın olmadığını doğrulayın.

Sisteme bulaşmak için kullanılan erişim yöntemini belirleyin ve kapatın. Uygulamaların beklendiği gibi çalıştığını doğrulamak için zaman tanıyarak sunucunun aşamalı olarak yeniden etkinleştirilmesi. Yeni enfeksiyon girişimlerini dikkatlice izleyin.

Bu, enfeksiyonun kök seviyesinde olduğunu varsayar. Web enfeksiyonları, web sunucusu tarafından çalıştırılan kod değiştirilerek yapılabilir. Web sunucusunun koduna yazma erişimine izin vermek bunu daha kolay yapabilir. Bu duruma yine de root hesabının güvenliği ihlal edilmiş gibi davranmak isteyebilirsiniz.

Bir sistemdeki kökün bir sistemde güvenliği aşılmışsa, daha fazla sisteminizin güvenliği aşılmış olabilir. Virüs bulaşmış sistemden şifre olmadan hangi sistemlere erişilebildiğini dikkatlice düşünün.