¿Qué vas a hacer si tu servidor Linux tiene hackeado

1. Que no cunda el pánico. Mantenga su calma y desarrollar un plan de acciones
2. Desconecte el sistema de la red
3. Descubre el método utilizado para comprometer el sistema de
4. Detener todos los scripts atacante y eliminar sus archivos
5. Restaurar los servicios afectados no
6. Corregir el problema que causó el compromiso
7. Restaurar los servicios afectados
8. Supervisar el sistema

Que no cunda el pánico. Mantenga su calma y desarrollar un plan de acciones

Vale. Usted acaba de encontrar que usted tiene que restaurar un sistema hackeado. Mi primera sugerencia es mantener la calma. No apresurarse y hacer algo que lamentar más tarde. ¿Por qué? Por supuesto, usted tendrá que tomar medidas tan pronto como sea posible, pero se puede asumir que el compromiso es probablemente activo durante algún tiempo y si en el segundo acto 1 o minuto 10 este probablemente no tiene mucho de la diferencia. Si usted tiene experiencia con este tipo de situaciones y tener un buen plan en su mente, vaya para él, y no perder tiempo. Si no es así, simplemente, relajarse, tomar 5 minutos para reflexionar sobre lo que debe hacer y cómo resolver este problema.
Ejemplo de malas acciones durante este tiempo: usted prisa y matar a todos los scripts ejecuta el atacante ha puesto en marcha y, a continuación, tienen un tiempo de cuando usted va a pensar qué hacer ... En este momento el atacante puede ver usted le han descubierto (por ejemplo, de su bot irc, etc) y podría llegar a ser molesto y limpiar el sistema para usted ...
Por supuesto usted no debe seguir con su plan de viaje y hacerse cargo de esto cuando regrese, estoy diciendo a utilizar 5-10 minutos a pensar sobre este tema y desarrollar un plan de acción corta. No debería haber ningún tiempo de espera en sus acciones y siempre debe saber lo que es el próximo paso.

Desconecte el sistema de la red

Esto podría no ser siempre posible. Pero si usted tiene acceso físico al sistema, o incluso si está en una remota en un sistema de cómputo que proporciona una manera de conectarse desde una consola (ya sea una consola remota, o un KVM, o una tarjeta DRAC de Dell en servidores, etc .), Entonces éste debería ser el próximo paso. Conectarse a la consola remota y derribar la interfaz de red.
Si no tienes una consola remota, he aquí algunas otras ideas: usted podría ser capaz de alquilar un KVM por un tiempo limitado de su centro de cómputo, o usted podría tener que escribir algunas reglas iptables para bloquear cualquier tipo de acceso, además de su propio IP.
Después de esto el sistema se parece a todos, incluido el atacante que ver que el sistema está completamente metido.
Descubre el método utilizado para comprometer el sistema de

Este paso, en mi opinión, es el más importante y no debe proceder cualquier otra hasta que haya una adecuada respuesta a la pregunta: "¿Cómo hizo el atacante entrar?" Este paso será probablemente la mayor parte del tiempo de consumo como el tipo de ataques puede ser muy variable. Aún si usted no saber cómo el atacante se puso en, entonces el riesgo de que se coloque el sistema en línea, y él será capaz de comprometer el sistema en cuestión de minutos. Y esta vez podría no ser tan bueno y usted no tiene nada que restaurar ... Por lo tanto, incluso si no hay un método general para esto, he aquí algunas ideas para comenzar:

Dependiendo de lo que las herramientas que ya han configurado, es necesario identificar los archivos cargados en el sistema:
si usted tiene un sistema configurado como tripwire utilizarlo para averiguar qué archivos donde añadido / cambiado.
si no tienen ningún sistema de este tipo instalado, usted podría tener que usar el comando find para buscar los archivos más recientes que x días que se han añadido al sistema (también archivos cambiados en los respectivos intervalo).

¿Quién es el titular de los archivos cargados?
averiguar el propietario de los archivos muestran que probablemente lo que la aplicación se utilizó para obtener pulg Por ejemplo, los archivos subidos en la web como usuario indicar que el servicio web se ha utilizado para obtener pulg

Investigar los archivos cargados.
los archivos que se cargan en el sistema podría proporcionar información valiosa sobre el ataque. Por ejemplo, el atacante podría utilizar la misma explotar para atacar a otros sistemas de su servidor. Esto puede mostrar rápidamente lo que explotar que está utilizando.

Obtener la mayor cantidad de información de la ejecución de secuencias de comandos lanzado por el atacante.
como has visto no he recomendado a detener sin embargo, la ejecución de secuencias de comandos que el atacante podría haber puesto en marcha. ¿Por qué? Porque contienen información muy valiosa para identificar el ataque. Lsof uso de ellos (lsof-p PID) para ver los detalles útiles. ¿Dónde están ubicados? lo que el usuario es propietario de ellos? Usted puede encontrar la fuente del ataque de esta información.

Utilice herramientas de detección Rootkit.
puede que desee para ejecutar algunos instrumentos de detección de rootkit como rkhunter o chkrootkit a identificar rápidamente los ataques comunes.

Investigar los registros del sistema.
con la información reunida por ahora puede reducir el tamaño de la información del registro usted tiene que investigar.

Esperemos que haya encontrado la fuente del ataque por ahora. Una vez más, esto depende mucho del tipo de ataque. El más común puede ver estos días es explotar una vulnerabilidad mediante una aplicación web y un atacante que pondrá en marcha diversos scripts (IRC bots, herramientas de escaneo, los ataques a otros sistemas, etc.) Aún se pueden ver como algo diferente a un atacante no cualquier secuencia de comandos de lanzamiento, carga módulos del kernel para ocultar sus pistas, para que sea más difícil identificar o incluso ver el compromiso.

Detener todos los scripts atacante y eliminar sus archivos

Una vez que haya identificado la causa del ataque puedes matar a todos los ejecutar secuencias de comandos lanzado por el atacante y eliminar todos sus archivos (guardar en un lugar diferente para una investigación más a fondo). En este punto ya no se necesitan las secuencias de comandos se ejecute como tenemos la información que podía encontrar de ellos. El sistema está todavía disponible en este momento y no hay servicio disponible a todo el mundo.

No se olvide de la limpieza también los lugares que el atacante podría haber introducido para iniciar su scripts en el sistema se reinicie. Buscar en guiones de inicio, rc.local, cron pestañas para ello.

Restaurar los servicios afectados no

Una vez que sabemos el servicio utilizado por el ataque podemos detenerla y restaurar la conexión de red y todos los servicios no afecta el sistema puede proporcionar. Por ejemplo, si el servidor Web se utilizó para entrar, podemos detenerla, y restaurar otros servicios como correo electrónico, dns, para reducir al mínimo el tiempo de inactividad del sistema.

Corregir el problema que causó el compromiso

Antes de comenzar el servicio utiliza para comprometer el sistema debe solucionar el problema por lo que esto no vuelva a suceder una vez que el servicio está abierto al público ... Dependiendo del problema que esto podría implicar: parches un demonio vulnerables, la mejora de una aplicación web vulnerables (o temporales desactivarlo), escrito algunas reglas especiales para bloquear (por ej. mod_security normas podrían ayudar en caso de que no hay parche disponible para una aplicación web), etc

Restaurar los servicios afectados

Una vez que haya solucionado el problema, puede reiniciar el servicio utilizado para obtener dentro del sistema.
Supervisar el sistema

Ahora es el momento de seguir de cerca el sistema y ver si la solución que han aplicado está funcionando. La mayoría de duda, el atacante tratará de conseguir de nuevo como él verá que ha 'perdido' el sistema. Si usted observa cualquier problema de detener el servicio a la vez y reiteramos una vez más al paso para solucionar el problema (detener el servicio, arreglarlo, restaurarlo).

Conclusión

Estas medidas obviamente no son utilizables todo el tiempo debido a la variedad de ataques que podría encontrarse, pero que puede ser utilizado como una base para desarrollar su propio plan de acciones. Una vez más en este tipo de situaciones, mantenga su calma, no apresurarse, y trabajar para restaurar el sistema basado en un conjunto claro de medidas.
Si tenido experiencias similares, por favor no dude en compartir sus propios consejos para ayudar a otros que podrían encontrarse en tal situación.
gracias a este maravilloso y recto hasta el punto de pasos de Marius Ducea

Puestos relacionados con la

• ¿Cómo migrar a Joomla
• ¿Cómo Hacker `s caída inlove
• El original de la ética hacker
• Guía sobre la evolución de SSH y la apertura del puerto nuevo puerto

Esta entrada fue publicada el lunes, 14 de abril, de 2008 a 6:21 pm y se presente en virtud de 31.337, Guías, Hacks. Puedes seguir las respuestas a esta entrada a través de la RSS 2.0 feed. Puedes dejar una respuesta, o TrackBack de su propio sitio.