«कैसे हैकर` s inlove गिरावट
पुटी ssh ग्राहक नोकिया N95 »के लिए

क्या हुआ अगर आपके Linux सर्वर काट दिया गया तुम क्या करने वाले हो

  1. डरो मत. अपने शांत रहो और कार्रवाइयों की एक योजना का विकास
  2. इस नेटवर्क से डिस्कनेक्ट प्रणाली
  3. खोजने के विधि प्रणाली को समझौता करने के लिए उपयोग किया
  4. सभी हमलावर लिपियों बंद करो और अपनी फ़ाइलों को हटा दें
  5. Restore सेवाएं प्रभावित नहीं
  6. फिक्स की समस्या यह है कि इस समझौते के कारण
  7. Restore प्रभावित सेवाएं
  8. निगरानी प्रणाली

डरो मत. अपने शांत रहो और कार्रवाइयों की एक योजना का विकास

ठीक है. तुम बस है कि आप एक काट व्यवस्था बहाल करने के लिए है पता चला है. शांत रहने के लिए मेरा पहला सुझाव है. जल्दी मत करो और तुम बाद में पछतावा होगा कुछ करो. क्यों? बेशक आप जल्द से जल्द कार्रवाई करनी होगी, लेकिन आप यह है कि समझौता शायद कुछ समय के लिए सक्रिय है की कल्पना कर सकते हैं और यदि आपको दूसरी 1 या 10 मिनट के इस में शायद ज्यादा एक फर्क करना नहीं होगा अधिनियम. यदि आप इस तरह की स्थितियों के साथ अनुभव किया है और अपने मन में एक समुचित योजना है, इसके लिए जाओ, और किसी भी समय बर्बाद मत करो. , बस, 5 मिनट लग आप क्या करना चाहिए के बारे में सोचने के लिए और आराम अगर नहीं कैसे इस समस्या को हल करने के लिए.
इस समय के दौरान बुरे कार्यों के उदाहरण: आप जल्दी करेंगे और हमलावर और फिर शुरू की है जब तुम आगे क्या करना है ... इस समय में हमलावर तुम (उदाहरण के लिए से उसे खोज लिया है देख सकता है सोचेंगे एक Timeout है सब चल लिपियों को मार अपने irc बॉट, आदि) और परेशान हो सकता है और आप के लिए इस प्रणाली को साफ ...
बेशक तुम पर अपनी योजना बनाई यात्रा के साथ नहीं जाना चाहिए और यह तब होता है जब तुम वापस लाने का ख्याल रखना, मैं सिर्फ इस पर सोचने के लिए 5-10 मिनट का उपयोग करने के लिए कह रहा हूँ और एक छोटा कार्य योजना का विकास. वहाँ आपके कार्यों में नहीं Timeout किया जाना चाहिए और आप हमेशा यही अगले कदम है यह पता होना चाहिए.

इस नेटवर्क से डिस्कनेक्ट प्रणाली

यह हमेशा संभव नहीं भी हो सकता है. लेकिन अगर तुम इस प्रणाली का उपयोग करने के लिए शारीरिक या यहाँ तक कि अगर तुम दूर है कि एक कंसोल से जोड़ने के लिए एक तरीका प्रदान करता है एक Datacenter में एक प्रणाली पर हैं (या तो एक या एक KVM, या Dell सर्वर, आदि में एक DRAC कार्ड दिलासा दूरदराज के नियमित रूप से .) है, तो यह अगले कदम होना चाहिए. को दिलासा और संजाल अंतरफलक को नीचे लाने के सुदूर से कनेक्ट.
यदि आप एक दूरस्थ दिलासा नहीं है, यहाँ कुछ अन्य विचार कर रहे हैं: आप अपने Datacenter से एक सीमित समय के लिए एक KVM किराया करने के लिए, या आप अपने स्वयं के उपयोग के अलावा किसी भी तरह ब्लॉक करने के लिए कुछ iptables नियम लिखने के लिए हो सकता है समर्थ हो सकता है IP.
के बाद यह आपके सिस्टम को नीचे हर किसी के लिए, जो कि प्रणाली पूरी तरह से नीचे है देखेंगे कि हमलावर सहित दिखाई देगा.
खोजने के विधि प्रणाली को समझौता करने के लिए उपयोग किया

मेरी राय में यह कदम सबसे महत्वपूर्ण एक है और आप हमलों के प्रकार के रूप में संभवत: सबसे काफ़ी समय हो जाएगा किसी भी आगे जब तक आप सवाल करने के लिए एक उचित जवाब है: "कैसे हमलावर में हो? किया था" यह कदम आगे नहीं चाहिए काफी variate किया जा सकता है. अभी भी अगर तुम कैसे हमलावर में है, तो फिर आपको लगता है कि आप प्रणाली को ऑनलाइन जगह है और वह मिनट के एक मामले में इस प्रणाली समझौता करने में सक्षम हो जाएगा खतरा होगा पता नहीं है. और इस बार वह इतना अच्छा नहीं भी हो सकता है और आप तो भी अगर कोई इस के लिए एक सामान्य विधि नहीं है बहाल करने के लिए कुछ ... नहीं होगा, यहाँ तुम्हें पाने के लिए कुछ विचार शुरू कर रहे हैं:

से पहले ही कॉन्फ़िगर tools तुम क्या है निर्भर करता है, आप फाइल सिस्टम पर अपलोड की पहचान करने की जरूरत है:
अगर आप की तरह कॉन्फ़िगर tripwire क्या कहाँ जोड़ा फ़ाइलों का पता लगाने के लिए / परिवर्तित इसका इस्तेमाल एक प्रणाली है.
(यह भी संबंधित अंतराल में) फ़ाइलों को परिवर्तित अगर आप किसी भी ऐसी प्रणाली स्थापित नहीं है, आप फाइल यह है कि प्रणाली में जोड़ा गया था x दिनों की तुलना में नए के लिए खोज करने के लिए आदेश मिल का उपयोग करने के लिए हो सकता है.

कौन अपलोड की गई फाइलों का मालिक कौन है?
फ़ाइलों के मालिक बाहर ढूँढने शायद क्या आवेदन अंदर फ़ाइलें वेब उपयोगकर्ता के रूप में है कि वेब सेवा के अंदर पाने के लिए इस्तेमाल किया गया था संकेत जाएगा अपलोड उदाहरण के लिए प्राप्त करने के लिए इस्तेमाल किया गया था तुम्हें दिखाता हूँ

अपलोड की गई फ़ाइलों की छानबीन.
कि इस हमले के बारे में महत्वपूर्ण जानकारी प्रदान हो सकता है इस सिस्टम पर अपलोड की गई फाइल. इस हमलावर का शोषण अपने समझौता सर्वर से अन्य प्रणालियों पर हमला करने के लिए एक ही उपयोग हो सकती है उदाहरण के लिए. यह जल्दी क्या वह इस्तेमाल कर रहा है शोषण तुम्हें दिखा सकते हैं.

इस चलने लिपियों के हमलावर द्वारा शुरू से ज्यादा जानकारी के रूप में प्राप्त करें.
जैसे तुम मुझे अभी तक चल रहा लिपियों है कि हमलावर शुरू किया है शायद रोकने के लिए सिफारिश नहीं की है देखा है. क्यों? क्योंकि वे इस हमले की पहचान के लिए अमूल्य जानकारी होते हैं. उन पर उपयोग करें lsof (lsof-p PID) उपयोगी विवरण देखने के लिए. वे कहाँ स्थित हैं? प्रयोक्ता उन्हें क्या मालिक है? क्या आप इस जानकारी से हमले का स्रोत ढूँढ सकता है.

Rootkit पता लगाने उपकरण का प्रयोग करें.
तुम rkhunter या chkrootkit जैसे कुछ rootkit detections उपकरणों को चलाने के लिए जल्दी से आम हमलों की पहचान करना चाहते हो सकती है.

लॉग प्रणाली की जाँच.
इस जानकारी के साथ अब तक क्या आप जांच करने के लिए किया है लॉग इन जानकारी का आकार घटा सकता है इकट्ठा हुए.

उम्मीद है कि तुम अब तक इस हमले के स्रोत मिल गया है. फिर यह बहुत ही हमले के प्रकार के निर्भर है. आप इन दिनों देख शायद सबसे आम एक एक एक संवेदनशील वेब अनुप्रयोग और कहा कि tools स्कैनिंग विभिन्न लिपियों (irc bots, शुभारंभ करेंगे एक हमलावर का उपयोग करने का शोषण होता है, अन्य सिस्टम पर हमले, आदि). अब भी तुम, अपनी पटरियों छिपाने के लिए kernel मॉड्यूल लोड हो रहा है, यह अधिक है या पहचानने के लिए भी समझौता देखना मुश्किल बनाने के लिए कुछ एक हमलावर की तरह अलग किसी भी स्क्रिप्ट शुरू नहीं देख सकता है.

सभी हमलावर लिपियों बंद करो और अपनी फ़ाइलों को हटा दें

एक बार जब आप इस हमले की आप सुरक्षित सब चल लिपियों के हमलावर द्वारा शुरू की मार सकता है और उसके सभी फ़ाइलों को हटाने के कारणों की पहचान की है (आगे की जांच के लिए एक अलग स्थान में) उन्हें बचाने के. के रूप में हम हम उन से मिल सकती है जानकारी मिल गया इस बिंदु पर हम अब स्क्रिप्ट चलाने की जरूरत है. यह प्रणाली अब भी इस मोड़ पर और कोई सेवा दुनिया के लिए उपलब्ध है रूप से अनुपलब्ध है.

साफ करने के लिए ऊपर भी स्थानों है कि हमलावर सिस्टम रिबूट पर अपने लिपियों शुरू करने के लिए दर्ज किया है शायद मत भूलना. Init लिपियों, इस के लिए rc.local, क्रॉन टैब में देखो.

Restore सेवाएं प्रभावित नहीं

एक बार हम इस सेवा हम इसे रोक सकते हैं और नेटवर्क कनेक्शन बहाल और प्रणाली प्रदान शायद सभी अप्रभावित सेवाओं इस हमले के लिए इस्तेमाल किया पता है. उदाहरण के लिए यदि वेब सर्वर में प्राप्त करने के लिए, हम, इसे रोक सकता है और डाक जैसे अन्य सेवाएं बहाल, DNS, सिस्टम के से कम से कम करने के लिए प्रयोग किया जाता था.

फिक्स की समस्या यह है कि इस समझौते के कारण

इस सेवा तुम इतने यह फिर से एक बार इस सेवा को जनता के लिए खुला है नहीं होगा ... यह शामिल हो सकती है समस्या: एक संवेदनशील डेमॉन पट्टी पर निर्भर करते हुए, एक संवेदनशील वेब अनुप्रयोग का उन्नयन कि समस्या को ठीक करना चाहिए प्रणाली समझौता करने के लिए प्रयोग किया जाता शुरू करने से पहले (या अस्थायी यह), (पूर्व के लिए यह ब्लॉक करने के लिए कुछ विशेष शासकों लेखन. mod_security नियम नहीं पैच एक वेब अनुप्रयोग के लिए उपलब्ध है के मामले में मदद हो सकती है), आदि को निष्क्रिय

Restore प्रभावित सेवाएं

एक बार आप इस सेवा प्रणाली के अंदर पाने के लिए इस्तेमाल किया पुनः आरंभ कर सकते हैं कि समस्या निर्धारित किया है.
निगरानी प्रणाली

अब निकट व्यवस्था पर नजर रखने के लिए और अगर आप काम कर रहा है कार्यान्वित किया है ठीक कर देखने का समय है. सबसे निश्चित रूप से हमलावर के रूप में फिर से वह '' इस प्रणाली को खो दिया है देखेंगे पाने के लिए कोशिश करेंगे. यदि आप किसी भी समस्या एक बार और बार बार दुहराना फिर से करने के लिए कदम पर इस समस्या को ठीक करने के लिए इस सेवा को रोक सूचना (, उसे ठीक कर, उसे पुनर्स्थापित कर) को सेवा बंद करो.

निष्कर्ष

इन चरणों का स्पष्ट रूप से आप मुठभेड़ शायद हमलों की विविधता की वजह से हर समय है, लेकिन प्रयोग करने योग्य नहीं हैं वे एक आधार रेखा के रूप में कार्रवाई की अपनी खुद की योजना को विकसित करने के लिए इस्तेमाल किया जा सकता है. फिर से इस तरह की स्थितियों में,, जल्दी नहीं है, तो आपके शांत रखने और व्यवस्था कदम का एक स्पष्ट सेट के आधार पर बहाल करने के लिए काम करते हैं.
यदि आप इसी तरह के अनुभव हुए कृपया अपनी खुद की युक्तियाँ है कि ऐसी स्थिति में खुद को ढूँढ़ सकता है दूसरों की मदद करने के लिए साझा करने के लिए स्वतंत्र महसूस हो रहा है.
करने के लिए धन्यवाद इस अद्भुत और मेरियस Ducea से बात करने के लिए कदम सीधे

आप इस पोस्ट की तरह, अगर मुझे एक कॉफी की खरीद पर विचार करें.

संबंधित पोस्ट

इस प्रविष्टि सोमवार, 14 अप्रैल, 2008 को 6:21 बजे और पोस्ट किया गया 31337 के अंतर्गत, गाइडों, भाड़े दायर की है. आप आरएसएस फ़ीड 2.0 के माध्यम से इस प्रविष्टि के लिए किसी भी प्रतिक्रियाओं का पालन कर सकते हैं. तुम में से एक प्रतिक्रिया, या trackback छोड़ सकता है अपने खुद की साइट.


इस पन्ने का अनुवाद:
English flagKorean flagChinese (Simplified) flagGerman flagFrench flagSpanish flagJapanese flagArabic flagRussian flagGreek flagBulgarian flagHindi flagRumanian flagFilipino flag

"क्या हुआ अगर आपके Linux सर्वर काट दिया है तुमने ऐसा करने जा रहे हैं करने के लिए 2 जवाब"

  1. महान कहते हैं:
    अप्रैल 23, 2008 11:36 पर हूँ

    प्रत्यक्ष और साफ़ गाइड, शुक्रिया दोस्त ... .. यकीन है .. इस के लिए बीमार बुकमार्क

  2. www.tagsto.com/trackback/ कहते हैं:
    मई 11, 1:32 2008 में हूँ

    क्या हुआ अगर आपके Linux सर्वर काट दिया है तुमने ऐसा करने जा रहे हैं की केन्द्रों ...

    आप इन दिनों देख शायद सबसे सामान्य करने के लिए एक लिपियों IRC केन्द्रों के बारे में एक एक संवेदनशील वेब अनुप्रयोग और कहा कि tools स्कैनिंग विभिन्न लिपियों (irc bots, शुभारंभ करेंगे एक हमलावर का उपयोग करने का शोषण होता है, अन्य सिस्टम पर हमले, आदि). अभी भी तुम सोम देख सकता है ...

एक उत्तर दें छोड़ दो