Làm thế nào để thực hiện một cái chết của hack máy chủ

Tôi có một máy Windows Server 2003 SP2 với IIS6, SQL Server 2005, MySQL 5 và PHP 4.3 được cài đặt trên nó. Đây không phải là một máy sản xuất, nhưng nó được tiếp xúc với thế giới thông qua một tên miền. Máy tính từ xa được bật trên máy và hai tài khoản quản trị đang hoạt động trên đó.

Sáng nay tôi thấy rằng máy đã được đăng xuất với tên người dùng uknown vẫn còn trong hộp văn bản đăng nhập. Sau khi điều tra sâu hơn, tôi đã phát hiện ra rằng hai người dùng windows đã được tạo, phần mềm chống vi-rút đã được gỡ cài đặt và một ít tệp .exe đã bị rơi vào ổ C :.

Những gì tôi muốn biết là, tôi nên thực hiện các bước nào để đảm bảo rằng điều này không xảy ra nữa và tôi nên tập trung vào các khu vực để xác định con đường vào. Tôi đã kiểm tra netstat -a để xem cổng nào đang mở và không có gì lạ ở đó. Tôi đã tìm thấy các tệp không xác định trong thư mục dữ liệu cho MySQL mà tôi nghĩ có thể là điểm vào nhưng tôi không chắc.

Tôi thực sự đánh giá cao các bước để tiến hành xử lý hậu quả vụ hack máy chủ để tôi có thể tránh điều này trong tương lai.

Đánh giá bài điều tra

Sau một số điều tra tôi nghĩ rằng tôi đã tìm ra những gì đã xảy ra. Đầu tiên, máy không trực tuyến trong khung thời gian từ tháng 8 năm 2008 đến tháng 10 năm ngoái. Trong khoảng thời gian đó, một lỗ hổng bảo mật đã được phát hiện, lỗ hổng MS08-067 . "Đây là một lỗ hổng thực thi mã từ xa. Kẻ tấn công khai thác thành công lỗ hổng này có thể kiểm soát hoàn toàn hệ thống bị ảnh hưởng từ xa. Trên các hệ thống dựa trên Microsoft Windows 2000, dựa trên Windows XP và Windows Server 2003, kẻ tấn công có thể khai thác lỗ hổng này trên RPC mà không cần xác thực và có thể chạy mã tùy ý. " Tính không ổn định này đã được khắc phục với Bản cập nhật bảo mật KB958644 được phát hành vào tháng 10 năm 2008.

Vì máy đã ngoại tuyến vào thời điểm đó và đã bỏ lỡ bản cập nhật này, tôi tin rằng lỗ hổng này đã bị khai thác ngay sau khi máy trở lại trực tuyến vào tháng 10 năm09. Tôi tìm thấy các tài liệu tham khảo cho một chương trình bycnboy.exe đã được mô tả như một chương trình cửa sau , sau đó tạo ra nhiều sự tàn phá trên một hệ thống bị nhiễm bệnh. Ngay sau khi máy trực tuyến, các bản cập nhật tự động đã cài đặt bản vá giúp tắt khả năng điều khiển hệ thống từ xa. Vì cửa hậu hiện đã bị đóng, tôi tin rằng kẻ tấn công sau đó đã tạo tài khoản vật lý trên máy và có thể sử dụng máy trong một tuần nữa cho đến khi tôi nhận thấy điều gì đang xảy ra.

Sau khi kiên quyết theo đuổi mã độc, .exes và. Trong tương lai gần, tôi sẽ theo dõi hệ thống và xem xét nhật ký máy chủ để xác định xem có xảy ra sự cố lặp lại hay không.

Cảm ơn bạn đã thông tin và các bước đã được cung cấp.

Làm một cái chết là một nghệ thuật đen trong chính nó. Mỗi lần nó hơi khác một chút vì thực sự không có hai lần đột nhập nào giống nhau. Với ý nghĩ đó, một cái nhìn tổng quan cơ bản về quy trình được đề xuất của tôi ở bên dưới, với một vài lưu ý cụ thể về tình huống của bạn:

1. Vật lý Ngắt kết nối máy khỏi mạng. (Thật vậy. Làm ngay đi.)
2. Bước tùy chọn: Tạo một bản sao hình ảnh nhị phân của ổ cứng để sử dụng trong tương lai.
3. Tạo một bản sao của tất cả các tệp nhật ký, dữ liệu có giá trị, vv vào một ổ cứng di động
   • Tùy chọn sao chép bất kỳ "công cụ hacker" nào bạn tìm thấy
4. Bắt đầu khám nghiệm tử thi thực tế. Trong trường hợp của bạn:
   • Lưu ý bất kỳ tài khoản người dùng mới hoặc thiếu. Xem các thư mục nhà của họ có bất kỳ nội dung "thú vị".
   • Lưu ý bất kỳ chương trình / tệp nhị phân / dữ liệu mới hoặc thiếu.
   • Kiểm tra nhật ký MySQL trước - Tìm kiếm bất cứ điều gì "bất thường"
   • Kiểm tra phần còn lại của nhật ký máy chủ. Xem bạn có thể tìm thấy người dùng mới được tạo không, địa chỉ họ đã đăng nhập, v.v.
   • Tìm kiếm bằng chứng về thiệt hại dữ liệu hoặc trộm cắp
5. Khi bạn tìm thấy nguyên nhân của vấn đề, lưu ý làm thế nào để nó không xảy ra lần nữa.
6. Xóa sạch máy chủ: Định dạng và cài đặt lại mọi thứ, khôi phục dữ liệu của bạn và cắm lỗ ban đầu với ghi chú của bạn từ # 5.

Bạn thường thực hiện bước 2 nếu bạn sẽ liên quan đến thực thi pháp luật. Bạn thực hiện Bước 3 để bạn có thể xem lại thông tin sau khi máy chủ được xây dựng lại mà không cần phải đọc bản sao hình ảnh bạn đã thực hiện ở bước 2.

Bước 4 chi tiết như thế nào phụ thuộc vào mục tiêu của bạn: Chỉ cần cắm lỗ là một loại điều tra khác với việc theo dõi kẻ đã đánh cắp một số dữ liệu quý giá :)

Bước 6 là IMHO quan trọng. Bạn không "sửa" máy chủ bị xâm nhập: Bạn xóa sạch nó và bắt đầu lại từ trạng thái tốt đã biết. Điều này đảm bảo rằng bạn sẽ không bỏ lỡ một chút khó chịu nào còn sót lại trên hộp như một quả bom hẹn giờ.

Đây không phải là một phác thảo hoàn chỉnh sau khi chết. Tôi đánh dấu đây là wiki cộng đồng vì tôi luôn tìm cách cải tiến quy trình - Tôi không sử dụng nó thường xuyên :-)