τι θα κάνεις αν σου έχεις Linux Server hacked

1. Μην πανικοβάλλεστε. Διατηρείτε την ηρεμία σας και να αναπτύξουν ένα σχέδιο δράσεων
2. Αποσύνδεση του συστήματος από το δίκτυο
3. Ανακαλύψτε τη μέθοδο που χρησιμοποιείται για συμβιβασμό στο σύστημα
4. Διακόψτε όλες τις δέσμες ενεργειών του εισβολέα και αφαίρεση του αρχεία
5. Επαναφορά δεν επηρεάζονται από τις υπηρεσίες
6. Λύσει το πρόβλημα που προκάλεσε ο συμβιβασμός
7. Επαναφορά των ενδιαφερόμενων υπηρεσιών
8. Παρακολουθεί το σύστημα

Μην πανικοβάλλεστε. Διατηρείτε την ηρεμία σας και να αναπτύξουν ένα σχέδιο δράσεων

Εντάξει. Μόλις έμαθε ότι πρέπει να αποκατασταθεί ένα σύστημα hacked. Η πρώτη μου πρόταση είναι να παραμείνουμε ήρεμοι. Να μη βιαστούμε και να κάνουμε κάτι που θα λύπη αργότερα. Γιατί; Φυσικά θα πρέπει να αναλάβει δράση το ταχύτερο δυνατόν, αλλά μπορείτε να υποθέσουμε ότι ο συμβιβασμός είναι ίσως ενεργό για ορισμένο χρονικό διάστημα και αν ενεργεί σε δεύτερη 10 λεπτά 1 ή αυτό θα γίνει πολύ πιθανόν να μην του τη διαφορά. Αν έχετε εμπειρία από τέτοιες καταστάσεις και να έχουν μια σωστή σχέδιο στο μυαλό σου, πηγαίνετε για αυτό και δεν έχασε καθόλου χρόνο. Αν δεν, απλά να χαλαρώσετε, να λαμβάνει 5 λεπτά για να σκεφτούμε τι πρέπει να κάνουμε και πώς να λύσουμε αυτό το πρόβλημα.
Παράδειγμα κακές ενέργειες κατά τη διάρκεια αυτού του χρόνου: Θα σπεύσει και να σκοτώσει όλα τα τρέχοντα scripts ο εισβολέας έχει ξεκινήσει και στη συνέχεια, έχουν το χρονικό όριο, όταν θα σκεφτούμε τι θα κάνουμε στη συνέχεια ... Σε αυτή τη φορά ο εισβολέας θα μπορούσε να σας βλέπω να έχουν ανακαλύψει τον (για παράδειγμα από του IRC BOT, κ.λπ.) και θα μπορούσε να γίνει αναστατωμένος και εξυγίανση του συστήματος για σας ...
Φυσικά δεν θα πρέπει να προχωρήσουμε με προβλεπόμενου ταξιδιού και να φροντίζει για αυτό, όταν γυρίσω, είμαι απλώς λέει να χρησιμοποιήσει 5-10 λεπτά για να πιστεύω σε αυτό και να αναπτύξει ένα σύντομο σχέδιο δράσης. Δεν πρέπει να υπάρχει χρονικό όριο στις πράξεις σας και πρέπει πάντα να γνωρίζουμε τι είναι το επόμενο βήμα.

Αποσύνδεση του συστήματος από το δίκτυο

Αυτό μπορεί να μην είναι πάντα εφικτό. Αλλά αν έχετε φυσική πρόσβαση στο σύστημα ή ακόμα και αν είστε από μακριά σε ένα σύστημα σε ένα κέντρο δεδομένων που παρέχει έναν τρόπο για να συνδέσετε από μια κονσόλα (σε τακτική είτε απομακρυσμένη κονσόλα, ή ένα KVM, ή Ντρακ κάρτα σε Dell servers, κλπ. .), Τότε αυτό πρέπει να είναι το επόμενο βήμα. Σύνδεση με την απομακρυσμένη κονσόλα και μείωση του δικτύου διασύνδεσης.
Αν δεν έχετε μια απομακρυσμένη κονσόλα, εδώ είναι μερικές ιδέες άλλων: Ίσως να είναι σε θέση να νοικιάσω ένα KVM για περιορισμένο χρονικό διάστημα από το κέντρο δεδομένων σας, ή ίσως χρειαστεί να γράψω κανόνες iptables να μπλοκάρει κάθε είδους πρόσβαση εκτός από το δικό σας ΠΕ.
Μετά από αυτό το σύστημά σας θα εμφανίζεται σε όλους, συμπεριλαμβανομένων και ότι ο εισβολέας θα δείτε ότι το σύστημα είναι εντελώς κάτω.
Ανακαλύψτε τη μέθοδο που χρησιμοποιείται για συμβιβασμό στο σύστημα

Αυτό το βήμα κατά τη γνώμη μου είναι το πιο σημαντικό και δεν πρέπει να προχωρήσει περαιτέρω, μέχρι να γίνει μια σωστή απάντηση στο ερώτημα: "Πώς ο εισβολέας μπούμε μέσα;" Το βήμα αυτό θα είναι πιθανότατα η πιο χρονοβόρα όσο η φύση των επιθέσεων Μπορεί να είναι αρκετά variate. Ακόμα και αν δεν βρει τον τρόπο ο εισβολέας έχεις, τότε θα κίνδυνο να τοποθετήσετε το σύστημα online και θα είναι σε θέση να θέσει σε κίνδυνο το σύστημα μέσα σε λίγα λεπτά. Και αυτή τη φορά ίσως να μην είναι τόσο καλός και δεν θα έχετε τίποτα ... Μέχρι να αποκατασταθεί ακόμη και αν δεν υπάρχει μια γενική μέθοδο για αυτό, εδώ είναι μερικές ιδέες για να ξεκινήσετε:

Ανάλογα από ποια εργαλεία έχετε ήδη ρυθμιστεί, θα πρέπει να προσδιορίσετε τα αρχεία για το σύστημα:
Αν έχετε ένα σύστημα όπως το tripwire ρυθμιστεί το χρησιμοποιήσετε για να μάθετε τι αρχεία στα οποία προστίθενται / αλλάξει.
Αν δεν έχετε εγκατεστημένο ένα τέτοιο σύστημα, χρειάζεται να χρησιμοποιήσετε το βρούμε για να αναζητήσετε το νεότερο αρχεία x ημερών που είχαν προστεθεί στο σύστημα (επίσης αλλάξει τα αρχεία του αντίστοιχου διαστήματος).

Ποιος κατέχει τα αρχεία που έχετε αποστείλει;
διαπιστωθεί ο ιδιοκτήτης των αρχείων κατά πάσα πιθανότητα θα σας δείξω ό, τι εφαρμογή χρησιμοποιήθηκε για να in. Για παράδειγμα αρχεία όπως το web χρήστης θα αναφέρουν ότι η υπηρεσία web χρησιμοποιήθηκε για να in.

Διερεύνηση της αρχεία που έχετε αποστείλει.
τα αρχεία που εισήχθησαν στο σύστημα μπορεί να παρέχει πολύτιμες πληροφορίες σχετικά με την επίθεση. Για παράδειγμα ο εισβολέας θα μπορούσε να χρησιμοποιήσει το ίδιο να εκμεταλλευτεί επίθεση από άλλα συστήματα server σας σε κίνδυνο. Αυτό μπορεί πολύ γρήγορα να σας δείξω τι εκμεταλλευτούν που χρησιμοποιεί.

Λάβετε όσες περισσότερες πληροφορίες από την εκτέλεση δεσμών ενεργειών που ξεκίνησε από τον εισβολέα.
όπως έχετε δει έχω δεν συνιστάται να σταματήσει την εκτέλεση δεσμών ενεργειών ακόμη ότι ο εισβολέας θα μπορούσε να έχει ξεκινήσει. Γιατί; Επειδή περιέχουν πολύτιμες πληροφορίες για τον προσδιορισμό της επίθεσης. Χρησιμοποιήστε lsof τους (lsof p-PID) για να δείτε χρήσιμες λεπτομέρειες. Πού βρίσκονται; τι χρήστη κατέχει τους; Μπορείτε να βρείτε την πηγή της επίθεσης από τις πληροφορίες αυτές.

Χρήση εργαλείων ανίχνευσης rootkit.
ίσως να θέλετε να εκτελέσετε κάποιο rootkit ανιχνεύσεις εργαλεία, όπως rkhunter ή γρήγορα chkrootkit να εντοπιστούν τα κοινά επιθέσεις.

Διερεύνηση του συστήματος κορμών.
με τα στοιχεία που συλλέγονται από τώρα εσείς μπορεί να μειώσει το μέγεθος του ημερολογίου που έχετε πληροφορίες για τη διερεύνηση.

Ας ελπίσουμε ότι έχετε βρει την πηγή της επίθεσης από τώρα. Και πάλι αυτό είναι πολύ εξαρτάται από το είδος της επίθεσης. Η πιο συνηθισμένη ίσως να δείτε ένα αυτές τις ημέρες είναι ένα εκμεταλλεύονται χρησιμοποιώντας ένα web εφαρμογή και ευάλωτα σε έναν εισβολέα που θα ξεκινήσει διάφορα είδη γραφής (IRC bots, εργαλεία σάρωσης, επιθέσεις σε άλλα συστήματα, κ.λπ.). Ακόμα μπορείτε να δείτε κάτι διαφορετικό σαν ένας εισβολέας δεν έναρξη κάθε σενάριο, φόρτωση αρθρώματα να κρύψει τη κομμάτια, ώστε να είναι πιο δύσκολο να εντοπιστούν ή να δείτε ακόμη και τον συμβιβασμό.

Διακόψτε όλες τις δέσμες ενεργειών του εισβολέα και αφαίρεση του αρχεία

Μόλις εντοπιστεί η αιτία της επίθεσης μπορείτε με ασφάλεια να σκοτώσει όλα τα τρέχοντα scripts που ξεκίνησε από τον εισβολέα και να αρθούν όλα τα αρχεία του (τα αποθηκεύσετε σε διαφορετική τοποθεσία για περαιτέρω εξέταση). Πρέπει στο σημείο αυτό δεν χρειάζεται πλέον η λειτουργία scripts όπως πήραμε τις πληροφορίες που θα μπορούσαμε να βρούμε από αυτά. Το σύστημα εξακολουθεί να είναι διαθέσιμο σε αυτό το σημείο και δεν είναι διαθέσιμη η υπηρεσία στον κόσμο.

Μην ξεχάσετε να καθαρισμού της επίσης τις θέσεις που ο εισβολέας θα μπορούσε να έχει εγγραφεί για την εκκίνηση του συστήματος scripts για επανεκκίνηση. Δείτε στο init scripts, rc.local, cron καρτέλες για αυτό.

Επαναφορά δεν επηρεάζονται από τις υπηρεσίες

Αφού γνωρίζουμε την υπηρεσία που χρησιμοποιήθηκε για την επίθεση που μπορούμε να το σταματήσουμε και να αποκατασταθεί η σύνδεση δικτύου και όλων των υπηρεσιών επηρεάζεται το σύστημα μπορεί να παρέχει. Για παράδειγμα, εάν το web server χρησιμοποιήθηκε για να μπούμε μέσα, μπορούμε να το σταματήσουμε, αποκατάσταση και άλλες υπηρεσίες όπως mail, DNS, που να ελαχιστοποιεί τον λειτουργίας του συστήματος.

Λύσει το πρόβλημα που προκάλεσε ο συμβιβασμός

Πριν την έναρξη της υπηρεσίας χρησιμοποιήθηκαν για συμβιβασμό το σύστημα θα πρέπει να λύσει το πρόβλημα τόσο αυτό δεν θα συμβεί ξανά, αφού η υπηρεσία είναι ανοικτή για το κοινό ... Ανάλογα με το πρόβλημα αυτό μπορεί να συνεπάγεται: διορθώσεις ευάλωτος δαίμονα, την αναβάθμιση ευάλωτη web εφαρμογή (ή προσωρινή απενεργοποίησής του), γράφοντας κάποια ειδική κυβερνώντες να την μπλοκάρουν (για την πρώην. mod_security κανόνες θα μπορούσαν να βοηθήσουν σε περίπτωση που δεν patch διαθέσιμο για μια web εφαρμογή), κλπ.

Επαναφορά των ενδιαφερόμενων υπηρεσιών

Μόλις καθοριστεί το πρόβλημα, μπορείτε να ξεκινήσετε πάλι την υπηρεσία για να χρησιμοποιηθεί στο εσωτερικό του συστήματος.
Παρακολουθεί το σύστημα

Τώρα είναι η ώρα να παρακολουθεί στενά το σύστημα και να δούμε αν το έχετε εφαρμοστούν καθορίζει εργάζεται. Οι περισσότεροι σίγουρα ο εισβολέας θα προσπαθήσουν να αποκτήσουν ξανά όπως θα δείτε έχει "χάσει" το σύστημα. Εάν παρατηρήσετε οποιοδήποτε πρόβλημα σταματήσει η υπηρεσία με τη μία και να την επαναλάβω ξανά βήμα για να λυθεί το πρόβλημα (διακοπή της υπηρεσίας, το διορθώσετε, να αποκαταστήσουν αυτήν).

Συμπέρασμα

Τα βήματα αυτά προφανώς δεν μπορεί να χρησιμοποιηθεί όλο το χρόνο λόγω της ποικιλίας των επιθέσεων που μπορεί να συναντήσει, αλλά μπορεί να χρησιμοποιηθεί ως μια βάση για να αναπτύξει το δικό σας πρόγραμμα ενεργειών. Και πάλι σε αυτές τις καταστάσεις, να διατηρούν την ηρεμία σας, μην βιαστούμε, και οι εργασίες για την αποκατάσταση του συστήματος βασίζεται σε ένα σαφές σύνολο βημάτων.
Αν είχαν παρόμοιες εμπειρίες που μπορείτε να μοιραστείτε τις δικές σας συμβουλές για να βοηθήσει άλλους που θα μπορούσαν να βρεθούν σε μια τέτοια κατάσταση.
Χάρη σε αυτό το υπέροχο και κατευθείαν στο θέμα βήματα από Marius Ducea

Σχετικές Θέσεις

• Πώς να μεταναστεύσουν Ελληνική διανομή Joomla
• Πώς Hacker `s πτώση inlove
• Η αρχική hacker ηθικής
• Οδηγός για την αλλαγή του λιμένα SSH και το άνοιγμα νέων λιμένα

Αυτή η καταχώρηση δημοσιεύτηκε την Δευτέρα, 14 Απρίλιος 2008 στις 6:21 μ.μ. και κατατίθεται στο πλαίσιο 31337, οδηγοί, Hacks. Μπορείτε να ακολουθήσετε τις απαντήσεις σε αυτή την καταχώρηση μέσω RSS 2.0 ζωοτροφών. Μπορείτε να αφήσετε μία απάντηση, ή trackback από σας γηπέδου.