Tìm cách một máy chủ bị hack đã bị hack

Tôi vừa duyệt qua trang web và thấy câu hỏi này: Máy chủ của tôi đã bị hack KHẨN CẤP . Về cơ bản câu hỏi cho biết: Máy chủ của tôi đã bị hack. Tôi nên làm gì?

Các câu trả lời tốt nhất là tuyệt vời nhưng nó nêu ra một số câu hỏi trong tâm trí của tôi. Một trong những bước được đề xuất là:

Kiểm tra các hệ thống 'bị tấn công' để hiểu cách các cuộc tấn công đã thành công trong việc xâm phạm an ninh của bạn. Thực hiện mọi nỗ lực để tìm ra các cuộc tấn công "đến từ đâu", để bạn hiểu những vấn đề bạn gặp phải và cần giải quyết để làm cho hệ thống của bạn an toàn trong tương lai.

Tôi đã không làm quản trị hệ thống làm việc vì vậy tôi không biết làm thế nào tôi sẽ bắt đầu làm điều này. Bước đầu tiên sẽ là gì? Tôi biết rằng bạn có thể tìm trong các tệp nhật ký máy chủ nhưng với tư cách là kẻ tấn công, điều đầu tiên tôi sẽ làm là làm sai các tệp nhật ký. Làm thế nào bạn sẽ "hiểu" làm thế nào các cuộc tấn công đã thành công?

Tôi sẽ bắt đầu bằng cách nói điều này, nếu bạn KHÔNG CÓ NHẬP NHẬP NHẬP , thì có khả năng khá tốt là bạn sẽ KHÔNG BAO GIỜ hiểu cuộc tấn công đã diễn ra ở đâu và như thế nào. Ngay cả với các tệp nhật ký đầy đủ và thích hợp, có thể cực kỳ khó hiểu đầy đủ, ai, cái gì, ở đâu, khi nào, tại sao và như thế nào.

Vì vậy, biết các tệp nhật ký quan trọng như thế nào, bạn bắt đầu hiểu mức độ an toàn của bạn để giữ chúng. Đó là lý do tại sao các công ty làm và nên đầu tư vào Quản lý sự kiện & thông tin bảo mật hoặc SIEM.

Tóm lại, tương quan tất cả các tệp nhật ký của bạn với các sự kiện cụ thể (dựa trên thời gian hoặc cách khác) có thể là một nhiệm vụ cực kỳ khó khăn. Chỉ cần xem các syslog tường lửa của bạn ở chế độ gỡ lỗi nếu bạn không tin tôi. Và đó chỉ là từ một thiết bị! Một quy trình SIEM đặt các tệp nhật ký này vào một chuỗi các sự kiện logic giúp tìm hiểu điều gì đã xảy ra, dễ hiểu hơn nhiều.

Để bắt đầu hiểu rõ hơn về cách thức, thật hữu ích khi nghiên cứu các phương pháp thâm nhập .

Nó cũng hữu ích để biết làm thế nào một virus được viết. Hoặc làm thế nào để viết một rootkit .

Nó cũng có thể cực kỳ có lợi để thiết lập và nghiên cứu một honeypot .

Nó cũng giúp có một trình phân tích cú pháp đăng nhập và thành thạo với nó.

Thật hữu ích để thu thập đường cơ sở cho mạng và hệ thống của bạn. Lưu lượng truy cập "bình thường" trong tình huống của bạn so với lưu lượng truy cập "bất thường" là gì?

CERT có một hướng dẫn tuyệt vời về những việc cần làm sau khi máy tính của bạn bị hack, đáng chú ý nhất (liên quan trực tiếp đến câu hỏi cụ thể của bạn) phần "Phân tích sự xâm nhập":

• Tìm các sửa đổi được thực hiện cho các tệp cấu hình và phần mềm hệ thống
• Tìm sửa đổi dữ liệu
• Tìm kiếm các công cụ và dữ liệu do kẻ xâm nhập để lại
• Xem lại tệp nhật ký
• Tìm kiếm dấu hiệu của một sniffer mạng
• Kiểm tra các hệ thống khác trên mạng của bạn
• Kiểm tra các hệ thống liên quan hoặc bị ảnh hưởng tại các trang web từ xa

Có rất nhiều câu hỏi tương tự như câu hỏi của bạn đã được hỏi trên SF:

1. Làm thế nào để thực hiện một cái chết của hack máy chủ
2. Các mục lạ trong Tệp máy chủ và Netstat
3. Đây có phải là một nỗ lực hack?
4. Làm cách nào tôi có thể học Linux từ quan điểm hack hoặc bảo mật

Đây có thể là một quá trình cực kỳ phức tạp và liên quan. Hầu hết mọi người, bao gồm tôi, sẽ chỉ thuê một nhà tư vấn nếu nó liên quan nhiều hơn những gì các thiết bị SIEM của tôi có thể kết hợp với nhau.

Và rõ ràng, nếu bạn muốn HOÀN TOÀN hiểu cách các hệ thống của bạn bị hack, bạn phải mất nhiều năm nghiên cứu chúng và từ bỏ phụ nữ.

Câu trả lời cho rằng một chút có thể rộng và cao một triệu dặm, và unpicking những gì đã xảy ra với một máy chủ bị tấn công có thể là gần như một loại hình nghệ thuật càng nhiều càng tốt bất cứ điều gì khác, vì vậy một lần nữa tôi sẽ cung cấp bắt đầu từ điểm và các ví dụ chứ không phải là một tập dứt khoát các bước để làm theo.

Một điều cần lưu ý là một khi bạn đã phải đối mặt với sự xâm nhập, bạn có thể kiểm tra mã của mình, quản trị / cấu hình hệ thống và quy trình của bạn với kiến ​​thức rằng chắc chắn có một điểm yếu ở đó. Điều đó giúp thúc đẩy động lực nhiều hơn là tìm kiếm một điểm yếu về mặt lý thuyết có thể có hoặc không có ở đó. Khá thường xuyên mọi người đưa công cụ trực tuyến trong khi biết mã có thể đã được kiểm toán khó hơn một chút, nếu chúng ta có thời gian; hoặc hệ thống khóa chặt hơn một chút, nếu không nó quá bất tiện; hoặc các thủ tục được thực hiện chặt chẽ hơn một chút, nếu chỉ có điều đó không khiến ông chủ nhớ mật khẩu dài như vậy. Chúng ta đều biết những điểm yếu nhất của chúng ta là ở đâu, vì vậy hãy bắt đầu với những điểm đó.

Trong một thế giới lý tưởng, bạn sẽ có các bản ghi được lưu trữ trên một máy chủ syslog khác (hy vọng không bị xâm phạm) , không chỉ từ các máy chủ mà từ bất kỳ tường lửa, bộ định tuyến, v.v. cũng có lưu lượng truy cập. Ngoài ra còn có các công cụ như Nessus có sẵn có thể phân tích một hệ thống và tìm kiếm điểm yếu.

Đối với phần mềm / framworks từ bên thứ ba, thường có các hướng dẫn thực hành tốt nhất bạn có thể sử dụng để kiểm tra việc triển khai của mình hoặc bạn có thể chú ý hơn đến tin tức bảo mật và lịch trình vá lỗi và khám phá một số lỗ hổng có thể đã được sử dụng.

Cuối cùng, hầu hết các cuộc xâm nhập đều rời khỏi ... nếu bạn có thời gian và kiên nhẫn để tìm ra nó. "Lái xe" xâm nhập vào kịch bản kiddie hoặc đột nhập bằng cách sử dụng bộ công cụ hack có xu hướng tập trung vào các điểm yếu phổ biến và có thể để lại một mô hình chỉ cho bạn đi đúng hướng. Điều khó khăn nhất để phân tích có thể là xâm nhập theo hướng thủ công (ví dụ: ai đó không muốn hack trang web "a", nhưng thay vào đó muốn hack trang web "của bạn" một cách cụ thể) và tất nhiên đây là những điều quan trọng nhất cần hiểu.

Đối với một người thực sự không biết bắt đầu từ đâu (hoặc thậm chí cho những người có kinh nghiệm có nhiệm vụ khác), bước đầu tiên là có thể thuê một người có kinh nghiệm tốt về các bước trên. Một lợi thế khác cho cách tiếp cận đó là họ sẽ xem xét thiết lập của bạn mà không có bất kỳ khái niệm định trước hoặc cổ phần cá nhân nào trong các câu trả lời.

"Tôi biết rằng bạn có thể tìm trong các tệp nhật ký máy chủ nhưng với tư cách là kẻ tấn công, điều đầu tiên tôi sẽ làm là làm sai các tệp nhật ký."

Tùy thuộc vào loại thỏa hiệp, kẻ tấn công có thể không có đặc quyền đủ cao trên máy chủ bị xâm nhập để có thể xóa nhật ký. Cách tốt nhất là để nhật ký máy chủ được giữ ngoài hộp trên một máy chủ khác, để tránh giả mạo (xuất tự động theo các khoảng thời gian nhất định).

Ngoài nhật ký máy chủ bị xâm nhập, vẫn còn nhật ký mạng (Tường lửa, Bộ định tuyến, v.v.) cũng như nhật ký xác thực từ dịch vụ thư mục, nếu có một (Active Directory, RADIUS, ect)

Vì vậy, nhìn vào nhật ký vẫn là một trong những điều tốt nhất có thể được thực hiện.

Khi xử lý một hộp bị xâm nhập, sàng lọc thông qua các bản ghi luôn là một trong những cách chính của tôi để chắp nối những gì đã xảy ra.

-Josh