Linux kutusunun hacklendikten sonra adli analiz yapmasının ana adımları nelerdir?
Bunun genel bir linux sunucusu posta / web / veritabanı / ftp / ssh / samba olduğunu varsayalım. Ve spam göndermeye, diğer sistemleri taramaya başladı .. Saldırının yapıldığı yolları ve kimin sorumlu olduğunu araştırmaya nasıl başlanır?
Yanıtlar:
Yeniden başlatmadan önce denemeniz gereken bazı şeyler şunlardır:
Her şeyden önce, tehlikeye girebileceğinizi düşünüyorsanız , makinenin daha fazla hasar görmemesi için ağ kablonuzu çıkarın .
Daha sonra, mümkünse yeniden önyükleme yapmaktan kaçının , bir davetsiz misafirin birçok izi yeniden önyükleme ile kaldırılabilir.
İleriyi düşündüysen ve uzaktan giriş yaptıysan gerçekleştirdiyseniz, birisinin makinedeki günlüklere müdahale etmesi çok kolay olduğundan, makinenizdeki günlükleri değil, uzak günlüklerinizi kullanın. Ancak uzak günlükleriniz yoksa, yerel günlükleri iyice inceleyin.
Yeniden başlatma sırasında da değiştirileceği için dmesg'yi kontrol edin .
Linux'ta, çalışan dosya silindikten sonra bile çalışan programlara sahip olmak mümkündür. Bunları / proc / [0-9] * / exe | grep "(silinmiş)" komut dosyasıyla kontrol edin . (elbette yeniden başlatma sırasında kaybolurlar). Çalışan programın bir kopyasını diske kaydetmek istiyorsanız, = / proc / dosyaadı / exe / = dosyaadı ise / bin / dd kullanın
Kim / ps / ls / netstat'ın iyi kopyalarını biliyorsanız , kutuda neler olup bittiğini incelemek için bu araçları kullanın. Bir rootkit kurulmuşsa, bu yardımcı programların genellikle doğru bilgi vermeyen kopyalarla değiştirildiğini unutmayın.
Bu tamamen neyin hacklendiğine bağlıdır, ancak genel olarak,
Uygun olmayan şekilde değiştirilen dosyaların zaman damgalarını kontrol edin ve başarılı ssh (/ var / log / auth *) ve ftp (sunucu olarak vsftp kullanıyorsanız / var / log / vsftp * ile) hangi hesabın ele geçirildiğini ve saldırının hangi IP'den geldiğini öğrenin.
Aynı hesapta çok sayıda başarısız giriş denemesi varsa, hesabın kaba zorlanıp zorlanmadığını öğrenebilirsiniz. Bu hesap için başarısız oturum açma girişimi yoksa veya yalnızca birkaç giriş denemesi yapılmışsa, büyük olasılıkla şifre başka yollarla keşfedilmiştir ve bu hesabın sahibinin şifre güvenliği konusunda bir konferansa ihtiyacı vardır.
IP yakındaki bir yerden geliyorsa "iç iş" olabilir
Kök hesaptan ödün verildiyse, elbette büyük beladasınız ve mümkünse kutuyu sıfırdan yeniden biçimlendirir ve yeniden inşa ederim. Elbette tüm şifreleri değiştirmelisiniz.
Çalışan uygulamaların tüm günlüklerini kontrol etmeniz gerekir. Örneğin, Apache günlükleri bir bilgisayar korsanının sisteminizde rasgele komutları nasıl çalıştırabileceğini söyleyebilir.
Ayrıca sunucuları tarayan veya spam gönderen çalışan işlemleriniz olup olmadığını da kontrol edin. Durum buysa, çalıştıkları Unix kullanıcısı kutunuzun nasıl saldırıya uğradığını size söyleyebilir. Www-data ise, Apache vb. Olduğunu bilirsiniz.
Bazen bazı programların psdeğiştirildiğini unutmayın ...
Naaah!
Kapatmalı, sabit diski salt okunur bir arayüze bağlamalısınız (bu, herhangi bir yazma işlemine izin vermeyen özel bir IDE veya SATA veya USB vb.) Arayüzü: http: //www.forensic- computer.com/handBridges.php ) ve DD ile tam bir dupe yapın.
Bunu başka bir sabit sürücüye veya disk görüntüsüne yapabilirsiniz.
Ardından, sabit diski daha sağlam ve tamamen güvenli bir yerde saklayın, herhangi bir kurcalama olmadan orijinal kanıttır!
Daha sonra, klonlanmış diski veya görüntüyü adli bilgisayarınıza takabilirsiniz. Bu bir diskse, salt okunur bir arabirime bağlamanız gerekir ve bir görüntüyle çalışacaksanız, 'salt okunur' olarak takın.
Sonra herhangi bir veri değiştirmeden tekrar tekrar çalışabilirsiniz ...
Bilginize, uygulama için internette "hacklenmiş" sistem görüntüleri var, böylece "evde" adli tıp yapabilirsiniz ...
Not: Saldırıya uğrayan sistem indirime ne oldu? Sistemin güvenliği ihlal edildiğini düşünürsem, bağlı kalmazdım, adli tıp bitene kadar yeni bir sabit disk koyabilir ve yedeklemeyi geri yükleyebilir veya yeni bir sunucu üretebilirim ...
Bir bellek dökümü alın ve Second Look gibi bir bellek adli tıp aracıyla analiz edin .
Önce kendinize şunu sormalısınız: "Neden?"
İşte bana mantıklı olan bazı nedenler:
Bunun ötesine geçmek çoğu zaman mantıklı değildir. Polis sık sık umursamıyor ve eğer yaparlarsa, donanımınızı tutar ve kendi adli analizlerini yaparlardı.
Ne bulduğunuza bağlı olarak, hayatınızı çok daha kolay hale getirebilirsiniz. Bir SMTP geçişi tehlikeye atılırsa ve bunun bir dış tarafın sömürdüğü eksik bir yamadan kaynaklandığını belirlerseniz, işiniz tamamlanmış demektir. Kutuyu yeniden takın, yama gerektiren her şeyi yamalayın ve devam edin.
Genellikle "adli tıp" kelimesi ortaya çıktığında, insanların CSI vizyonları vardır ve olanlar hakkında her türlü dayanılmaz ayrıntıyı bulmayı düşünürler. Bu olabilir, ancak gerekmiyorsa büyük bir asansör yapmayın.
SANS Enstitüsü'nün bir makalesi olan " Ölü Linux Makineleri Masalları Anlat " ı okumanızı şiddetle tavsiye ederim . 2003'ten beri, ama bilgi bugün hala değerli.