«كيف هاكر' ق سقوط inlove
المعجون SSH العملاء لنوكيا N95 »

ما انت ذاهب لتفعل لو حصلت على خادم لينكس اخترق

  1. لا داعي للقلق. ابق على الهدوء ووضع خطة للإجراءات
  2. فصل النظام عن الشبكة
  3. اكتشاف الطريقة المستخدمة لتقديم تنازلات النظام
  4. وقف جميع المهاجم إزالة الكتابات وملفاته
  5. استعادة الخدمات لم تتأثر
  6. تحديد المشكلة التي تسببت في حل وسط
  7. استعادة الخدمات المتضررة
  8. رصد النظام

لا داعي للقلق. ابق على الهدوء ووضع خطة للإجراءات

موافق. لقد اكتشف أن لديك لاستعادة اخترق النظام. الاقتراح الأول هو بلدي على التزام الهدوء. لا الذروة وسوف نفعل شيئا لكم الأسف في وقت لاحق. لماذا؟ بالطبع سيكون لكم لاتخاذ إجراءات في أقرب وقت ممكن ، ولكن يمكنك أن نفترض أن الحل الوسط هو على الارجح نشطة لبعض الوقت وإذا كنت في الثانية 1 الفعل أو 10 دقيقة وهذا ربما لن يقلل كثيرا من الفرق. وإذا كان لديك تجربة مع مثل هذه الحالات ووضع خطة ملائمة في رأسك ، لأنها تذهب ، وليس النفايات أي وقت. إذا لم يكن الأمر مجرد الاسترخاء ، تأخذ 5 دقائق للتفكير في ما ينبغي عمله وكيفية حل هذه المشكلة.
مثال ذلك من خلال الأعمال السيئة هذه المرة : هل سوف الذروة وقتل جميع الكتابات على التوالي المهاجم وبعد ذلك بدأت لديها وقتا عندما اعتقد أنكم ما يتعين القيام به بعد... وفي هذا الوقت المهاجم قد ترى لديك اكتشف له (على سبيل المثال من له بوت الايرسي ، الخ) ويمكن أن تصبح قلب وتنظيف النظام للكم...
بالطبع لا ينبغي عليك أن تذهب على حسابك مع زيارة مقررة ورعاية هذا عند العودة ، أنا فقط أقول لاستخدام 5-10 دقائق على هذا التفكير ووضع خطة عمل قصيرة. يجب أن لا يكون هناك وقتا في الإجراءات الخاصة بك ويجب عليك دائما أن تعرف ما هي الخطوة التالية.

فصل النظام عن الشبكة

وهذا قد لا يكون من الممكن دائما. ولكن إذا كان لديك المادية الوصول إلى النظام أو حتى إذا كنت من بعيد على مركز بيانات نظام في أن يوفر وسيلة لربط من تعزية (إما العادية عن بعد ، أو بعثة التحقق في كوسوفو ، أو في بطاقة DRAC ديل لخدمة الشبكة ، إلخ .) ، فإن هذا ينبغي أن يكون الخطوة التالية. ربط إلى عن بعد واسقاط واجهة الشبكة.
إذا لم يكن لديك عن بعد ، هنا بعض الأفكار الأخرى : هل يمكن أن تكون قادرة على تأجير بعثة التحقق في كوسوفو لفترة محدودة من مركز بيانات الخاصة بك ، أو قد تكون لديكم لكتابة بعض قواعد iptables لمنع أي نوع من الوصول الى جانب الخاص بك الملكية الفكرية.
بعد هذا النظام الخاص بك سوف تظهر الى الجميع ، بما في ذلك المهاجم سوف نرى أن هذا النظام بانخفاض تماما.
اكتشاف الطريقة المستخدمة لتقديم تنازلات النظام

هذه الخطوة في رأيي هو أهم واحد ويجب أن لا يمضي أي مزيد من حين لديك الجواب الصحيح على السؤال : "كيف والمهاجم في الحصول على؟" وسوف تكون هذه الخطوة ربما أكثر تستغرق وقتا طويلا كما نوع من الهجمات يمكن variate تماما. إذا كنت لا تزال لا تعرف كيف حصل المهاجم في ، فإنك سوف خطر لك أن تضع منظومة الانترنت وانه سوف يكون قادرا على حل وسط النظام في ظرف دقائق. وهذه المرة انه قد لا يكون ذلك لطيفا ولكم لن يكون لها أي شيء لاستعادة... وحتى اذا كانت لا توجد طريقة عامة لهذا ، هنا بعض الأفكار للحصول على انك بدأته :

وتبعا لمن الأدوات ما كنت قد قمت بالفعل تهيئتها ، تحتاج لتحديد الملفات التي تم تحميلها على النظام :
إذا كان لديك نظام مثل الشرارة التي تشعل تهيئتها استخدامها لمعرفة ما فيها ملفات واضاف / تغيير.
إذا لم يكن لديك أي تركيب هذا النظام ، قد تكون لديكم لاستخدام ايجاد قيادة للبحث عن ملفات الأحدث من العاشر أيام التي أضيفت إلى نظام (كما تغير كل الملفات في الفترة الفاصلة).

الذي تمتلك تحميل الملفات؟
معرفة المالك من هذه الملفات سوف تظهر لك ربما ما كانت تستخدم لتطبيق الدخول على سبيل المثال الملفات التي تم تحميلها على الشبكة حيث المستخدم سوف تشير إلى أن الشبكة كانت تستخدم لخدمة الدخول.

التحقيق في الملفات التي تم تحميلها.
الملفات التي تم تحميلها على النظام يمكن أن توفر معلومات قيمة عن الهجوم. فعلى سبيل المثال يمكن استخدام المهاجم نفسه استغلال للهجوم على نظم أخرى من شبهة الخادم الخاص بك. هذا ويمكن بسرعة وتظهر لكم ما أنه هو استغلال باستخدام.

الحصول على أكبر قدر ممكن من المعلومات من تشغيل البرامج النصية التي أطلقها المهاجم.
كما رأيتم أنني لم أوصت لوقف تشغيل البرامج النصية بعد ان المهاجم قد بدأت. لماذا؟ لأنها تحتوي على معلومات قيمة لتحديد الهجوم. lsof على استخدام لهم (ع lsof - PID) لترى تفاصيل مفيدة. أين مكانهم؟ مستخدم ما تملك لهم؟ أنت قد تجد مصدر للهجوم من هذه المعلومات.

Rootkit الكشف عن استخدام أدوات.
قد ترغب لتشغيل بعض الأدوات مثل rootkit كشف rkhunter أو chkrootkit بسرعة لتحديد الهجمات المشتركة.

التحقيق في نظام الجذوع.
مع المعلومات التي جمعتها لكم الآن قد تقلل من حجم المعلومات لديك سجل للتحقيق.

نأمل لكم وجد مصدر للهجوم من قبل الآن. مرة أخرى تعتمد كثيرا هذا من النوع من الهجوم. الأكثر شيوعا واحدة قد ترى في هذه الأيام هو استغلال الفئات الضعيفة على الشبكة باستخدام وتطبيق للمهاجمين أن إطلاق مختلف الكتابات (المركز السير ، وأدوات المسح الضوئي ، والهجمات على النظم الأخرى ، وما إلى ذلك). لا يزال قد ترى شيئا مختلفا مثل المهاجم لا إطلاق أي سيناريو ، تحميل وحدات النواة لإخفاء المسارات ، لجعله أكثر من الصعب تحديد أو حتى نرى الحل الوسط.

وقف جميع المهاجم إزالة الكتابات وملفاته

وبمجرد الانتهاء من تحديد سبب الهجوم يمكنك بأمان قتل كل إدارة البرامج النصية التي أطلقها المهاجم وإزالة جميع ملفاته (إنقاذهم في مكان آخر لإجراء مزيد من التحقيقات). وفي هذه المرحلة لم نعد في حاجة إلى تشغيل البرامج النصية كما اننا حصلنا على المعلومات التي يمكن أن تجد منها. هذا النظام لا تزال غير متوفرة في هذه المرحلة لا وهذه الخدمة متاحة على العالم.

لا ننسى لتنظيف المواقع أيضا ان المهاجم قد دخلت لبدء مؤلفاته على نظام تشغيل الكمبيوتر. ننظر في الحرف الأول النصوص ، rc.local ، كرون لعلامات التبويب هذه.

استعادة الخدمات لم تتأثر

بمجرد ان نعرف هذه الخدمة تستخدم لهجوم يمكننا وقفها واستعادة اتصال الشبكة وجميع الخدمات يتأثر هذا النظام يمكن أن توفر. فعلى سبيل المثال إذا كان خادم الويب المستخدمة في الحصول على ل، يمكننا وقفها ، واستعادة الخدمات الأخرى مثل البريد الإلكتروني ، نظام أسماء النطاقات ، للتقليل إلى أدنى حد التوقف للنظام.

تحديد المشكلة التي تسببت في حل وسط

قبل بدء الخدمة تستخدم لتقديم تنازلات النظام يجب أن علاج هذه المشكلة حتى لا يتكرر هذا مرة واحدة لخدمة مفتوحة للجمهور... واعتمادا على هذه المشكلة قد تنطوي على : ترميم ضعيفة شيطان ، ورفع مستوى ضعيف على الشبكة تطبيق (أو مؤقتة تعطيله) ، وكتابة بعض الحكام لعرقلة خاصة أنها (لالسابقين. mod_security قواعد قد تساعد في حالة عدم التصحيح المتاحة لتطبيق ويب) ، الخ.

استعادة الخدمات المتضررة

مرة واحدة ثابتة لديك مشكلة يمكنك استئناف الخدمة المستخدمة للحصول على داخل النظام.
رصد النظام

الآن هو الوقت المناسب لنظام مراقبة عن كثب ونرى ما اذا كان لديك تثبيت هو تنفيذ العمل. بكل تأكيد المهاجم سيحاول مرة أخرى في أنه سيشهد له.. فقدت.. النظام. إذا لاحظت أي مشكلة وقف مرة واحدة في الخدمة وأكرر مرة أخرى إلى خطوة لعلاج هذه المشكلة (وقف الخدمة ، واصلاحها ، واستعادته).

خاتمة

ومن الواضح أن هذه الخطوات لا يمكن استخدامها طوال الوقت بسبب مجموعة متنوعة من هجمات لكم قد تواجهها ، لكنها يمكن أن تستخدم كخط أساس لوضع خطة خاصة بك من الإجراءات. ومرة أخرى في مثل هذه الحالات ، ابق هادئا ، لا التسرع ، والعمل على استعادة النظام على أساس مجموعة واضحة من الخطوات.
لو كان لديك تجارب مماثلة لا تتردد في حصة خاصة بك على نصائح لمساعدة الآخرين التي قد تجد نفسها في مثل هذه الحالة.
وبفضل هذا ، ورائعة على التوالي إلى نقطة خطوات من ماريوس Ducea

إذا كنت مثل هذا المنصب ، يرجى النظر في شراء لي القهوة.

الوظائف ذات الصلة

هذا الدخول على موقع الاثنين ، نيسان / أبريل 14th ، 2008 في 6:21 بعد الظهر ويودع تحت 31337 ، دليل ، المأجورون. يمكنك متابعة الردود على هذا الموضوع من خلال الدخول آر إس إس 2.0 تغذية. يمكنك ترك وردا على ذلك ، أو trackback من حسابك الخاصة بها في الموقع.


ترجم هذه الصفحة :
English flagKorean flagChinese (Simplified) flagGerman flagFrench flagSpanish flagJapanese flagArabic flagRussian flagGreek flagBulgarian flagHindi flagRumanian flagFilipino flag

2 الردود على "ما انت ذاهب لتفعل لو حصلت على خادم لينكس اخترق"

  1. النبيل يقول :
    أبريل 23rd ، 2008 في الساعة 11:36

    دليل واضح ومباشر ، وذلك بفضل ماتي..... سوء المرجعية لعلى يقين من هذا..

  2. www.tagsto.com/trackback/ يقول :
    مايو 11th ، 2008 في 1:32 صباحا

    المحاور ما انت ذاهب لتفعل لو حصلت على خادم لينكس اخترق...

    المحاور عن وحدات سكربت إلى المركز الأكثر شيوعا واحدة قد ترى في هذه الأيام هو استغلال الفئات الضعيفة على الشبكة باستخدام وتطبيق للمهاجمين أن إطلاق مختلف الكتابات (المركز السير ، وأدوات المسح الضوئي ، والهجمات على النظم الأخرى ، وما إلى ذلك). قد ترى هل لا يزال سوم...

ترك الرد