Các bước chính làm phân tích pháp y của hộp linux sau khi nó bị hack là gì?
Hãy nói rằng nó là một máy chủ linux chung web / web / cơ sở dữ liệu / ftp / ssh / samba. Và nó bắt đầu gửi thư rác, quét các hệ thống khác .. Làm thế nào để bắt đầu tìm kiếm cách thức hack và ai chịu trách nhiệm?
Câu trả lời:
Dưới đây là một số điều cần thử trước khi khởi động lại:
Trước hết, nếu bạn nghĩ rằng bạn có thể bị xâm phạm rút cáp mạng để máy không thể làm hỏng thêm.
Sau đó, nếu có thể kiềm chế khởi động lại , vì nhiều dấu vết của kẻ xâm nhập có thể được xóa bằng cách khởi động lại.
Nếu bạn đã nghĩ trước và đã đăng nhập từ xa , hãy sử dụng nhật ký từ xa của bạn chứ không phải các bản ghi trên máy vì tất cả đều quá dễ dàng để ai đó can thiệp vào nhật ký trên máy. Nhưng nếu bạn không có nhật ký từ xa, hãy kiểm tra kỹ địa phương.
Kiểm tra dmesg , vì điều này cũng sẽ được thay thế khi khởi động lại.
Trong linux có thể có các chương trình đang chạy - ngay cả sau khi tệp đang chạy đã bị xóa. Kiểm tra những thứ này bằng tệp lệnh / Proc / [0-9] * / exe | grep "(đã xóa)" . (những cái này biến mất khi khởi động lại, tất nhiên). Nếu bạn muốn lưu một bản sao của chương trình đang chạy vào đĩa, hãy sử dụng / bin / dd if = / Proc / filename / exe of = filename
Nếu bạn đã biết các bản sao tốt của ai / ps / ls / netstat, hãy sử dụng các công cụ này để kiểm tra những gì đang diễn ra trên hộp. Lưu ý rằng nếu rootkit đã được cài đặt, các tiện ích này thường được thay thế bằng các bản sao không cung cấp thông tin chính xác.
Điều đó hoàn toàn phụ thuộc vào những gì đã bị hack, nhưng nói chung,
Kiểm tra dấu thời gian của các tệp đã được sửa đổi không phù hợp và tham chiếu chéo những lần đó với ssh thành công (in / var / log / auth *) và ftp (in / var / log / vsftp * nếu bạn đang sử dụng vsftp làm máy chủ) tìm ra tài khoản nào bị xâm phạm và từ đó IP tấn công.
Bạn có thể có thể tìm hiểu xem tài khoản có bị ép buộc hay không nếu có nhiều lần đăng nhập không thành công trên cùng một tài khoản. Nếu không có hoặc chỉ có một vài lần đăng nhập thất bại cho tài khoản đó, thì có lẽ mật khẩu đã được phát hiện theo một số cách khác và chủ sở hữu của tài khoản đó cần một bài giảng về an toàn mật khẩu.
Nếu IP đến từ một nơi nào đó gần đó thì đó có thể là một "công việc nội bộ"
Nếu tài khoản root bị xâm phạm, tất nhiên bạn sẽ gặp rắc rối lớn và nếu có thể, tôi sẽ định dạng lại và xây dựng lại hộp từ đầu. Tất nhiên bạn vẫn nên thay đổi tất cả mật khẩu.
Bạn phải kiểm tra tất cả các bản ghi của các ứng dụng đang chạy. Ví dụ, nhật ký Apache có thể cho bạn biết làm thế nào một hacker có thể thực thi các lệnh tùy ý trên hệ thống của bạn.
Đồng thời kiểm tra xem bạn có đang chạy các quy trình quét máy chủ hoặc gửi thư rác không. Nếu đúng như vậy, người dùng Unix họ đang chạy có thể cho bạn biết hộp của bạn đã bị hack như thế nào. Nếu đó là dữ liệu www thì bạn biết đó là Apache, v.v.
Xin lưu ý rằng đôi khi một số chương trình như psđược thay thế ...
Naaah!
Bạn nên tắt, kết nối đĩa cứng với giao diện chỉ đọc (đó là giao diện IDE hoặc SATA đặc biệt hoặc USB, v.v ... không cho phép ghi bất kỳ, như thế này: http: //www.forensic- computer.com/handB Ink.php ) và thực hiện một bản sao chính xác với DD.
Bạn có thể làm điều đó với một ổ đĩa cứng khác, hoặc bạn có thể làm điều đó với một hình ảnh đĩa.
Sau đó, lưu trữ ở một nơi chuyên nghiệp và hoàn toàn an toàn mà đĩa cứng, là bằng chứng ban đầu mà không có bất kỳ sự giả mạo nào!
Sau đó, bạn có thể cắm đĩa nhân bản đó hoặc hình ảnh vào máy tính pháp y của bạn. Nếu đó là đĩa, bạn nên cắm nó qua giao diện chỉ đọc và nếu bạn sẽ làm việc với một hình ảnh, hãy gắn nó 'chỉ đọc'.
Sau đó, bạn có thể làm việc trên nó, lặp đi lặp lại mà không thay đổi bất kỳ dữ liệu nào ...
FYI, có hình ảnh hệ thống "hack" trên internet để thực hành, vì vậy bạn có thể làm pháp y "tại nhà" ...
PS: Thế còn hệ thống bị hack mang xuống? Nếu tôi nghĩ hệ thống đó bị xâm nhập, tôi sẽ không để nó kết nối, tôi sẽ đặt một đĩa cứng mới ở đó và khôi phục bản sao lưu hoặc đưa một máy chủ mới vào sản xuất cho đến khi pháp y kết thúc ...
Lấy một bộ nhớ và phân tích nó bằng một công cụ pháp y bộ nhớ, chẳng hạn như Cái nhìn thứ hai .
Bạn nên tự hỏi mình trước: "Tại sao?"
Đây là một số lý do có ý nghĩa với tôi:
Đi xa hơn thường không có ý nghĩa. Cảnh sát thường không quan tâm, và nếu họ làm vậy, họ sẽ ngăn chặn phần cứng của bạn và tự phân tích pháp y.
Tùy thuộc vào những gì bạn tìm ra, bạn có thể làm cho cuộc sống của bạn dễ dàng hơn rất nhiều. Nếu chuyển tiếp SMTP bị xâm phạm và bạn xác định rằng đó là do một bản vá bị thiếu do bên ngoài khai thác, bạn đã hoàn thành. Cài đặt lại hộp, vá bất cứ thứ gì cần vá và di chuyển trên.
Thông thường khi từ "pháp y" được đưa lên, mọi người có tầm nhìn về CSI và suy nghĩ về việc tìm ra tất cả các loại chi tiết gây cấn về những gì đã xảy ra. Nó có thể là vậy, nhưng đừng biến nó thành một lực nâng khổng lồ nếu bạn không cần phải làm vậy.
Tôi chưa đọc các phản hồi khác, nhưng tôi sẽ tạo một hình ảnh ma quái của nó để lưu giữ bằng chứng và chỉ kiểm tra hình ảnh .... có lẽ ...
Tôi đặc biệt khuyên bạn nên đọc " Dead Linux Machines Do Tell Tales ", một bài viết của Viện Sans. Đó là từ năm 2003, nhưng thông tin vẫn còn giá trị cho đến ngày nay.