Вопросы Теги

Как я имею дело с поставленным под угрозу сервером?

Я не использовал его, но что-то как Марионетка должно установить полномочия.

Я использовал rdist, чтобы продвинуть и запустить скрипт сценарии на нескольких хостах, которыми я управляю. Было бы достаточно легко добавить, что команды должны были установить полномочия на сценарий, который Вы продвигаете.

602
задан 13 April 2017 в 15:14
12 ответов

Трудно дать определенный совет от того, что Вы отправили здесь, но у меня действительно есть некоторый универсальный совет на основе сообщения, которое я записал давным-давно назад, когда я мог все еще быть побеспокоен для блоггинга.

Не паниковать

Первые вещи сначала, нет никаких "быстрых исправлений" кроме восстановления Вашей системы от резервного копирования, взятого до проникновения, и это имеет по крайней мере две проблемы.

  1. Трудно точно определить, когда проникновение произошло.
  2. Это не помогает Вам закрыть "дыру", которая позволила им врываться в прошлый раз, ни соглашение с последствиями любого "хищения данных", которое, возможно, также произошло.

Этот вопрос продолжает спрашиваться неоднократно жертвами хакеров, врывающихся в их веб-сервер. Ответы очень редко изменяются, но люди продолжают задавать вопрос. Я не уверен почему. Возможно, людям просто не нравятся ответы, которые они видели при поиске справки, или они не могут найти кого-то, кому они доверяют, чтобы дать им совет. Или возможно люди читают ответ на этот вопрос и фокусируются слишком много на 5% того, почему их случай является особенным и отличается от ответов, которые они могут найти онлайн и пропустить 95% вопроса и ответить, где их случай около достаточно того же как то, они читают онлайн.

Это приносит мне к первому важному самородку информации. Я действительно ценю, что Вы - специальная уникальная снежинка. Я ценю, что Ваш веб-сайт также, как это - отражение Вас и Вашего бизнеса или по крайней мере, Вашей тяжелой работы от имени работодателя. Но кому-то на заглядывающей внешней стороне, вероятно ли человек компьютерной безопасности, смотрящий на проблему, чтобы попытаться помочь Вам или даже самому взломщику, что Ваша проблема будет по крайней мере на 95% идентична любому случаю, на который они когда-либо смотрели.

Не предпринимайте нападение лично и не берите рекомендации, которые следуют здесь или что Вы добираетесь от других людей лично. Если Вы читаете это после просто становления жертвой взлома веб-сайта затем, я действительно сожалею, и я действительно надеюсь, что можно найти что-то полезным здесь, но это не время, чтобы позволить эго помешать тому, что необходимо сделать.

Вы только что узнали, что Ваш сервер (серверы) был взломан. Теперь, что?

Не паниковать. Абсолютно не действуйте в поспешности и абсолютно не пытайтесь притвориться, что вещи никогда не происходили и не действие вообще.

Во-первых: поймите, что авария уже произошла. Это не время для отказа; это - время для принятия то, что произошло, чтобы быть реалистичным относительно этого и предпринять шаги для управления последствиями влияния.

Некоторые из этих шагов собираются причинить боль, и (если Ваш веб-сайт не содержит копию моих деталей), я действительно не забочусь, игнорируете ли Вы все или некоторые из этих шагов, Вам решать Но следующий за ними правильно сделает вещи лучше в конце. Медицина могла бы являться на вкус ужасной, но иногда необходимо забыть это, если Вы действительно хотите, чтобы средство исправления работало.

Мешайте проблеме стать хуже, чем это уже:

  1. Первая вещь, которую необходимо сделать, разъединить затронутые системы от Интернета. Независимо от того, что другие проблемы, которые Вы имеете, оставляя систему подключенной к сети, только позволят нападению продолжаться. Я имею в виду это вполне буквально; заставьте кого-то физически посещать сервер и отключать сетевые кабели, если, именно это он берет, но разъединяют жертву от его грабителей, прежде чем Вы попытаетесь сделать что-либо еще.
  2. Измените все свои пароли для всех учетных записей на всех компьютерах, которые находятся в той же сети как поставленные под угрозу системы. Нет действительно. Все учетные записи. Все компьютеры. Да, Вы правы, это могло бы быть излишеством; с другой стороны, это не могло бы. Вы не знаете так или иначе, не так ли?
  3. Проверьте свои другие системы. Обратите особое внимание на другие интернет-услуги по направлению, и тем, которые содержат финансовые или другие коммерчески уязвимые данные.
  4. Если система содержит чьи-либо персональные данные, сразу сообщите человеку, ответственному за защиту данных (если это не Вы), и ПРИЗОВИТЕ к полному раскрытию. Я знаю, что этот жесток. Я знаю, что этот собирается пострадать. Я знаю, что многие компании хотят скрыть этот вид проблемы, но бизнес оказывается перед необходимостью иметь дело с ним - и должен сделать так глазом на любого и все соответствующие законы о конфиденциальности.

Однако раздражаемый Ваши клиенты могли бы быть должны сделать, чтобы Вы сказали им о проблеме, они будут намного более раздражаться, если Вы не скажете им, и они только узнают для себя после того, как кто-то заряжает ценность за 8 000$ товаров с помощью данных кредитной карты, которые они украли из сайта.

Помните то, что я сказал ранее? Плохая вещь уже произошла. Единственный вопрос теперь состоит в том, как хорошо Вы имеете дело с ним.

Поймите проблему полностью:

  1. Не откладывайте затронутые системы онлайн, пока этот этап не полностью завершен, если Вы не хотите быть человеком, сообщение которого было переломным моментом для меня на самом деле решающий написать эту статью. Я не собираюсь связываться с тем сообщением так, чтобы люди могли получить дешевый смех, но реальная трагедия состоит в том, когда людям не удается научиться на их ошибках.
  2. Исследуйте 'подвергшиеся нападению' системы, чтобы понять, как нападения преуспели в том, чтобы ставить под угрозу Вашу безопасность. Приложите все усилия для обнаружения, куда нападения "прибыли из", так, чтобы Вы поняли, какие проблемы Вы имеете и должны обратиться для создания системы безопасной в будущем.
  3. Исследуйте 'подвергшиеся нападению' системы снова, на этот раз для понимания, куда нападения пошли, так, чтобы Вы поняли, какие системы были поставлены под угрозу в нападении. Удостоверьтесь, чтобы Вы развили любые указатели, которые предполагают, что поставленные под угрозу системы могли стать трамплином для нападения на системы далее.
  4. Гарантируйте "шлюзы", используемые в любом, и все нападения полностью поняты, так, чтобы можно было начать закрывать их правильно. (например, если Ваши системы были поставлены под угрозу атакой с использованием кода на SQL, то не только делают необходимо закрыть конкретную дефектную строку кода, которой они ворвались, Вы захотите контролировать весь свой код, чтобы видеть, был ли тот же тип ошибки сделан в другом месте).
  5. Поймите, что нападения могли бы успешно выполниться из-за больше чем одного дефекта. Часто, нападения успешно выполняются не посредством нахождения одной главной ошибки в системе, а путем строкового представления вместе нескольких проблем (иногда незначительный и тривиальный собой) для взлома системы. Например, с помощью атак с использованием кода на SQL для отправки команд в сервер базы данных обнаруживая веб-сайт/приложение Вы нападаете, работает в контексте административного пользователя и использует права на ту учетную запись как трамплин для взлома других частей системы. Или поскольку хакерам нравится называть его: "другой день в офисе, обманывающем людей частых ошибок, делает".

Почему не только "восстанавливают" использование или руткит, который Вы обнаружили и отложили систему онлайн?

В таких ситуациях проблема состоит в том, что Вы не имеете контроля над той системой больше. Это больше не Ваш компьютер.

Единственный способ быть уверенным, что у Вас есть управление системы, состоит в том, чтобы восстановить систему. В то время как существует много значения в нахождении и фиксации использования, используемого для вторжения в систему, Вы не можете быть уверены в том, что еще было сделано к системе, после того как злоумышленники получили контроль (действительно, не неслыханный для хакеров, которые принимают на работу системы в ботнет для исправления использования, которое они использовали сами, для охраны "их" нового компьютера от других хакеров, а также установки их руткита).

Сделайте план относительно восстановления и возвращать Ваш веб-сайт онлайн и придерживаться его:

Никто не хочет быть в режиме офлайн для дольше, чем они должны быть. Это - данный. Если этот веб-сайт будет генерирующимся механизмом дохода затем давление для возвращения, то это онлайн быстро будет интенсивно. Даже если единственная вещь под угрозой - Ваш / репутация Вашей компании, это все еще идет, генерируют большое давление для откладывания вещей быстро.

Однако не признавайте искушение возвратиться онлайн слишком быстро. Вместо этого переместитесь с максимально быстро для понимания то, что вызвало проблему и решить его перед возвращением онлайн, или иначе Вы почти наверняка падете жертвой проникновения еще раз и помнить, "быть взломанным однажды может быть классифицировано как неудача; быть взломанным снова прямо позже похоже на небрежность" (с извинениями Oscar Wilde).

  1. Я предполагаю, что Вы поняли все проблемы, которые привели к успешному проникновению во-первых перед ровным запуском этого раздела. Я не хочу преувеличивать случай, но если Вы не сделали этого сначала затем, Вы действительно должны.Прошу прощения.
  2. Никогда не платите шантаж / деньги на защиту. Это - знак объекта для насмешек, и Вы не хотите ту фразу, когда-либо раньше описывал Вас.
  3. Не испытывайте желание возвратиться, тот же сервер (серверы) онлайн без полного восстанавливают. Это должно быть намного более быстро для создания нового поля, или "уничтожают сервер с орбиты и делают чистую установку" на старых аппаратных средствах, чем это должно было бы контролировать каждый угол старой системы, чтобы удостовериться, что это чисто перед откладыванием его онлайн снова. Если Вы не соглашаетесь с тем затем, Вы, вероятно, не знаете то, что это действительно означает гарантировать, что система полностью убрана, или Ваши процедуры развертывания веб-сайта являются безобразной путаницей. Вы, по-видимому, имеете резервные копии и тестируете развертывание Вашего сайта, который можно просто использовать для создания живого сайта, и если Вы не делаете затем быть взломанным не является Вашей самой большой проблемой.
  4. Будьте очень осторожны относительно многократного использования данных, которые были "живы" в системе во время взлома. Я не скажу, "никогда не делают это", потому что Вы просто проигнорируете меня, но откровенно я думаю, что действительно необходимо рассмотреть последствия имения в наличии данных, когда Вы будете знать, что не можете гарантировать его целостность. Идеально, необходимо восстановить это от резервного копирования, сделанного до проникновения. Если Вы не можете или не делать этого, необходимо быть очень осторожными с теми данными, потому что они испорчены. Необходимо особенно знать о последствиях для других, если эти данные принадлежат клиентам или посетителям сайта, а не непосредственно Вам.
  5. Контролируйте систему (системы) тщательно. Необходимо разрешить делать это как продолжающийся процесс в будущем (больше ниже), но Вы предпринимаете дополнительные усилия, чтобы быть бдительными в течение периода сразу после Вашего сайта, возвращающегося онлайн. Злоумышленники почти наверняка вернутся, и если можно определить их пытающийся ворваться снова, Вы, конечно, сможете видеть быстро при реальном закрытии всех дыр, они использовали, прежде плюс любой они сделали для себя, и Вы могли бы собрать полезную информацию, которую можно передать локальной охране правопорядка.

Снижение риска в будущем.

Первая вещь, которую необходимо понять, состоит в том, что безопасность является процессом, который необходимо применить в течение всего жизненного цикла разработки, развертывания и обслуживания стоящей с Интернетом системы, не чего-то, что можно хлопнуть несколько слоев по коду впоследствии как дешевая краска. Чтобы быть правильно безопасными, сервис и приложение должны быть разработаны от запуска с этим в памяти как одна из главных целей проекта. Я понимаю, что это скучно, и Вы услышали все это прежде и что я "просто не понимаю человека давления" получения Вашей беты web2.0 (бета), сервис в бета состояние в сети, но факт - то, что это продолжает повторяться, потому что это было верно в первый раз, когда это было сказано, и это еще не стало ложью.

Вы не можете устранить риск. Вы не должны даже пытаться сделать это. Что необходимо сделать, однако должен понять, какие угрозы безопасности важны для Вас и понимают, как справиться и уменьшить и влияние риска и вероятность, что риск произойдет.

Какие шаги можно сделать для сокращения вероятности нападения, являющегося успешным?

Например:

  1. Был дефект, который позволил людям врываться в Ваш сайт известная ошибка в коде поставщика, для которого патч был доступен? Если так, необходимо ли заново продумать подход к тому, как Вы исправляете приложения на своих стоящих с Интернетом серверах?
  2. Был дефект, который позволил людям врываться в Ваш сайт неизвестная ошибка в коде поставщика, для которого патч не был доступен? Я несомненно не рекомендую изменять поставщиков каждый раз, когда что-то вроде этого кусает Вас, потому что у них всех есть свои проблемы, и Вы выбежите из платформ через год самое большее, если Вы проявите этот подход. Однако, если система постоянно подводит Вас затем, необходимо или мигрировать на что-то более устойчивое или по крайней мере, повторно спроектировать систему так, чтобы уязвимые компоненты остались обернутыми в вате и подальше от враждебных глаз.
  3. Действительно ли дефект был ошибкой в коде, разработанном Вами (или подрядчик, работающий на Вас)? Если так, необходимо ли заново продумать подход к тому, как Вы утверждаете код для развертывания на Вашем живом сайте? Мог ошибка была поймана с улучшенной системой тестирования, или с изменениями в Вашем кодировании "стандарт" (например, в то время как технология не является панацеей, можно уменьшить вероятность успешной атаки с использованием кода на SQL при помощи хорошо зарегистрированных методов кодирования).
  4. Действительно ли дефект происходил из-за проблемы с тем, как сервер или прикладное программное обеспечение были развернуты? Если так, Вы используете автоматизированные процедуры, чтобы создать и развернуть серверы где возможный? Это большая справка в поддержании последовательного "базового" состояния на всех Ваших серверах, минимизируя объем пользовательской работы, которая должна быть сделана на каждом и следовательно надо надеяться, уменьшении возможности для ошибки, которая будет сделана. То же идет с развертыванием кода - если Вы требуете, чтобы что-то "специальное", которое будет сделано для развертывания последней версии веб-приложения затем, очень старалось автоматизировать его и гарантировать, что оно всегда делается последовательным способом.
  5. Проникновение, возможно, было поймано ранее с лучшим контролем Ваших систем? Конечно, 24-часовой контроль или "на вызове" система для Вашего штата не мог бы быть экономически эффективным, но существуют компании там, которые могут контролировать Ваши веб-услуги по направлению для Вас и предупредить Вас в случае проблемы. Вы могли бы решить, что не можете позволить себе это или не нуждаетесь в нем, и это очень хорошо..., просто принимают его во внимание.
  6. Используйте инструменты, такие как растяжка и nessus в соответствующих случаях - но не просто используйте их вслепую, потому что я сказал так. Не торопитесь, чтобы изучить, как использовать несколько хороших средств обеспечения безопасности, которые соответствуют Вашей среде, держат эти инструменты в курсе и используют их регулярно.
  7. Полагайте, что специалисты по безопасности найма 'контролируют' Вашу безопасность веб-сайта регулярно. Снова, Вы могли бы решить, что не можете позволить себе это или не нуждаетесь в нем, и это очень хорошо..., просто принимают его во внимание.

Какие шаги можно сделать для сокращения последствий успешного нападения?

Если Вы решаете, что "риск" цокольного этажа Вашей домашней лавинной рассылки высок, но не достаточно высоко гарантировать перемещение, необходимо, по крайней мере, переместить незаменимые семейные реликвии семейства наверх.Правильно?

  1. Можно ли уменьшить объем услуг, непосредственно выставленных Интернету? Можно ли поддержать некоторый разрыв между внутренними сервисами и стоящими с Интернетом сервисами? Это гарантирует, что, даже если Ваши внешние системы поставлены под угрозу возможности использования этого, поскольку трамплин для нападения на внутренние системы ограничен.
  2. Вы храните информацию, которую Вы не должны хранить? Вы храните такую информацию "онлайн", когда она могла быть заархивирована где-то в другом месте. Существует две точки к этой части; очевидный - то, что люди не могут украсть информацию от Вас, что Вы не имеете, и вторая точка то, что, чем меньше Вы храните, тем меньше необходимо поддержать и кодировать для, и таким образом, существует меньше возможностей для ошибок для скольжения в код или проектирование систем.
  3. Вы используете "наименьшее количество доступа" принципы для Вашего веб-приложения? Если пользователи только должны читать из базы данных, то удостоверьтесь учетная запись использование веб-приложения для обслуживания, это только имеет доступ для чтения, не позволяйте ему доступ для записи и конечно не доступ системного уровня.
  4. Если Вы не очень опытны в чем-то, и это не является центральным к Вашему бизнесу, рассмотрите аутсорсинг его. Другими словами, если Вы выполняете маленький веб-сайт, говорящий о написании кода настольного приложения, и решаете запустить продажу маленьких настольных приложений от сайта, затем рассматривают "аутсорсинг" Вашей системы порядка кредитной карты кому-то как PayPal.
  5. Если вообще возможный, сделайте практикующее восстановление после поставленной под угрозу системной части Вашего Плана аварийного восстановления. Это - возможно просто другая "ситуация восстановления", с которой Вы могли встретиться, просто один с ее собственным набором проблем и проблем, которые отличны от обычной 'серверной, загорелся'/'was вторгшийся гигантским сервером, питаясь furbies' вид вещи.

... И наконец

Я, вероятно, не не учел конца материала, который другие считают важными, но шаги выше должны, по крайней мере, помочь Вам начать вещи сортировки, если Вы достаточно неудачны, чтобы пасть жертвой хакеров.

Прежде всего: не паниковать. Думайте перед действием. Закон твердо, после того как Вы приняли решение и оставляете комментарий ниже, если у Вас есть что-то для добавления к моему списку шагов.

1016
ответ дан 28 November 2019 в 19:13

CERT имеет документ Шаги для Восстановления с UNIX или Системного Компромисса NT, который хорош. Определенные технические детали этого документа несколько устарели, но много общих рекомендаций все еще непосредственно применяется.

Быстрая сводка основных шагов - это.

  • Консультируйтесь со своей политикой безопасности или управлением.
  • Получите контроль (выведите компьютер из эксплуатации),
  • Проанализируйте проникновение, получите журналы, изобразите то, что пошло не так, как надо
  • Материал восстановления
    • Установите чистую версию своей операционной системы!!! Если система была поставлена под угрозу, Вы не можете доверять ему, период.
  • Системы обновления, таким образом, этого не может произойти снова
  • Операции резюме
  • Обновите свою политику для будущего и документа

Я хотел бы конкретно указать на Вас на раздел E.1.

E.1. Следует иметь в виду, что, если машина поставлена под угрозу, что-либо в той системе, возможно, было изменено, включая ядро, двоичные файлы, файлы данных, выполнив процессы и память. В целом единственный способ положить, что машина лишена бэкдоров и модификаций злоумышленника, состоит в том, чтобы переустановить работу

Если у Вас уже нет системы на месте как растяжка нет никакого возможного способа для Вас быть на 100% уверенным, что Вы очистили систему.

109
ответ дан 28 November 2019 в 19:13
  • 1
    Даже затем растяжку можно дурачить с модулями ядра и таким. Переустановить. –  reconbot 19 May 2009 в 00:02

Необходимо переустановить. Сохраните то, в чем Вы действительно нуждаетесь. Но имейте в виду, что все Ваши выполнимые файлы можно было бы заразить и вмешаться. Я записал следующее в Python: http://frw.se/monty.py, который создает MD5-sumbs всех Ваших файлов в данном каталоге и в следующий раз, когда Вы выполняете его, он проверяет, было ли что-нибудь изменено и затем произведено, какие измененные файлы и что изменилось в файлах.

Это могло быть удобно для Вас, чтобы видеть, изменяются ли странные файлы регулярно.

Но единственная вещь, которую необходимо делать теперь, удаляет компьютер из Интернета.

41
ответ дан 28 November 2019 в 19:13
  • 1
    Так... you' ve реализовал растяжку. –  womble♦ 8 May 2009 в 11:46
  • 2
    Да, что-то не так с этим? –  Filip Ekberg 8 May 2009 в 11:48
  • 3
    +1 для отключают, анализируют (заставьте кого-то делать реальную судебную экспертизу на нем), и очистка –  Oskar Duveborn 8 May 2009 в 13:04

В моем ограниченном опыте системные компромиссы на Linux имеют тенденцию быть более 'всесторонними', чем они находятся в Windows. Корневые наборы, намного более вероятно, будут включать системные двоичные файлы замены со специализированным кодом для сокрытия вредоносного программного обеспечения и барьера для горячего исправления, ядро немного ниже. Плюс, это - домашняя ОС для большого количества вредоносных авторов. Общее руководство состоит в том, чтобы всегда восстанавливать затронутый сервер с нуля, и это - общее руководство по причине.

Формат тот щенок.

Но, если Вы не можете восстановить (или the-powers-that-be не позволит Вам восстановить его против своей напряженной настойчивости, что этому нужен он), что Вы ищете?

Так как это кажется, что было некоторое время, так как проникновение было обнаружено, и восстановление системы было сделано, очень вероятно, что трассировки того, как они вошли, затоптались в паническом бегстве для восстановления сервиса. Неудачный.

Необычный сетевой трафик является, вероятно, самым легким найти, поскольку это не включает выполнение ничего на поле и может быть сделано, в то время как сервер возрос и выполнение вообще. Предположение, конечно, Ваше сетевое оборудование позволяет охват порта. То, что Вы находите, может или не может быть диагностикой, но по крайней мере это - информация. Получение необычного трафика будет убедительными доказательствами, что система все еще поставлена под угрозу и выравнивание потребностей. Это могло бы быть достаточно хорошо, чтобы убедить TPTB, что переформатировать действительно, действительно, стоит времени простоя.

Сбой этого, возьмите dd-копию своих системных разделов и смонтируйте их на другом поле. Начните сравнивать содержание с сервером на том же уровне установки патча как поставленный под угрозу. Это должно помочь Вам определить то, что выглядит по-другому (те md5sums снова) и может указать на упущенные области на поставленном под угрозу сервере. Это - БОЛЬШОЕ отсеивание через каталоги и двоичные файлы, и будет довольно трудоемки. Это может даже быть более трудоемки, чем переформатировать/восстанавливание было бы и может быть другой вещью подбросить TPTB ударом о фактическом выполнении переформатировать, этому действительно нужно.

31
ответ дан 28 November 2019 в 19:13

Это походит, находятся в немного по Вашей голове; это в порядке. Позвоните своему боссу и начните согласовывать для чрезвычайного бюджета на ответ безопасности. 10 000$ могли бы быть хорошим местом для запуска. Затем необходимо заставить кого-то (PFY, коллега, менеджер) начинать называть компании, которые специализируются на реагировании на инциденты безопасности. Многие могут ответить в течение 24 часов, и иногда еще быстрее, если у них есть офис в Вашем городе.

Вам также нужен кто-то для сортирования клиентов; Несомненно, кто-то уже. Кто-то должен разговаривать по телефону с ними для объяснения, что продолжается, что делается, чтобы обработать ситуацию и ответить на их вопросы.

Затем Вы должны...

  1. Останьтесь спокойными. Если Вы отвечаете за реагирование на инциденты, что Вы делаете теперь потребности продемонстрировать предельный профессионализм и лидерство. Зарегистрируйте все, что Вы делаете и сохраняете своего менеджера и высшее исполнительное руководство информируемыми об основных мерах, которые Вы принимаете; это включает работу с командой реагирования, отключение серверов, данных резервного копирования и обеспечения вещей онлайн снова. Им не нужны окровавленные детали, но они должны получать известие от Вас каждые 30 минут или около этого.

  2. Будьте реалистичны. Вы не специалист по безопасности, и существуют вещи, которые Вы не знаете. Это в порядке. При входе серверов и рассмотрении данных, необходимо понять пределы. Шагайте мягко. В ходе Вашего расследования удостоверьтесь, что Вы не топаете на важной информации или изменяете что-то, что могло бы быть необходимо позже. Если Вы чувствуете себя неловко или что Вы предполагаете, это - хорошее место, чтобы остановить и заставить опытного профессионала вступать во владение.

  3. Получите чистую карту с интерфейсом USB и сэкономьте жесткие диски. Вы соберете доказательства здесь. Сделайте резервные копии из всего, что Вы чувствуете, может быть релевантным; связь с Вашим ISP, сетевыми дампами, и т.д. Даже если охрана правопорядка не примет участие, в случае судебного процесса, то Вы захотите, чтобы это доказательство доказало, что Ваша компания обработала инцидент безопасности профессиональным и соответствующим способом.

  4. Самый важный должен остановить потерю. Определите и отключите доступ к поставленным под угрозу сервисам, данным и машинам. Предпочтительно, необходимо вытянуть их сетевой кабель; если Вы не можете, затем вытянуть питание.

  5. Затем, необходимо удалить взломщика и закрыть дыру (дыры). По-видимому, у взломщика больше нет интерактивного доступа, потому что Вы вытянули сеть. Теперь необходимо определить, документ (с резервными копиями, снимками экрана и собственными персональными наблюдательными примечаниями; или предпочтительно даже путем удаления дисков из затронутых серверов и создания полной копии образа диска), и затем удаляют любой код и процессы, которые он оставил позади. Эта следующая часть высосет, если у Вас не будет резервных копий; можно попытаться распутать взломщика от системы вручную, но Вы никогда не будете уверены, что получили все, что он оставил позади. Руткиты порочны, и не все обнаруживаемы. Лучший ответ должен будет определить уязвимость, в которую он раньше входил, делал копии изображения проблемных дисков и затем вытирал затронутые системы и перезагрузку от известного хорошего резервного копирования. Вслепую не доверяйте своему резервному копированию; проверьте его! Восстановите или закройте уязвимость, прежде чем новый хост пойдет на сеть снова, и затем принесите его онлайн.

  6. Организуйте все свои данные в отчет. В этой точке закрывается уязвимость, и у Вас есть некоторое время для дыхания. Не испытывайте желание пропустить этот шаг; это еще более важно, чем остальная часть процесса. В отчете необходимо определить то, что пошло не так, как надо, как команда ответила, и шаги, которые Вы делаете, чтобы препятствовать тому, чтобы этот инцидент произошел снова. Будьте столь подробными, как Вы можете; это не только для Вас, но и для Вашего управления и как защита в потенциальном судебном процессе.

Это - очень высокий обзор того, что сделать; большая часть работы является просто документацией и резервной обработкой. Не паникуйте, можно сделать тот материал. Я настоятельно рекомендую получить профессиональную справку безопасности. Даже если можно обработать то, что продолжается, их справка будет неоценима, и они обычно идут с оборудованием для создания процесса легче и быстрее. Если Ваш босс передумал относительно стоимости, напомните ему, что это является очень маленьким по сравнению с обработкой судебного процесса.

У Вас есть мои утешения для Вашей ситуации.Удачи.

204
ответ дан 28 November 2019 в 19:13
  1. Определите проблему. Считайте журналы.
  2. Содержать. Вы разъединили сервер, таким образом, это сделано.
  3. Уничтожить. Переустановите затронутую систему, скорее всего. Не стирайте жесткий диск взломанного, хотя, используйте новый. Это более безопасно, и Вам, возможно, понадобился бы старый для восстановления ужасных взломов, которые не были сохранены, и сделать судебную экспертизу для обнаружения то, что произошло.
  4. Восстановиться. Установите то, что необходимо, и восстановите резервные копии для получения клиентов онлайн.
  5. Продолжение. Фигура, что было проблемой и предотвращает ее снова.
67
ответ дан 28 November 2019 в 19:13

Ответ "горькой пилюли" Robert является пятном - на, но абсолютно универсальный (хорошо, как был Ваш вопрос). Это действительно кажется, что у Вас есть проблема управления и в страшной потребности полностью занятого системного администратора, если у Вас есть один сервер и 600 клиентов, но это не помогает Вам теперь.

Я выполняю хостинговую компанию, которая обеспечивает немного содержания руки в этой ситуации, таким образом, я имею дело с большим количеством поставленных под угрозу машин, но также и соглашением в лучшей практике для нашего собственного. Мы всегда говорим нашим скомпрометированным клиентам восстанавливать, если они не абсолютно уверены в природе компромисса. В долгосрочной перспективе нет никакого другого ответственного маршрута.

Однако Вы - почти наверняка просто жертва деточки сценария, которая хотела стартовый стол для DoS-атак, или вышибал IRC или что-то абсолютно несвязанное с сайтами и данными Ваших клиентов. Поэтому как временная мера, в то время как Вы восстанавливаете, Вы могли бы рассмотреть перевод в рабочее состояние тяжелого исходящего брандмауэра на Вашем поле. Если можно заблокировать весь исходящий UDP и соединения TCP, которые не абсолютно необходимы для функционирования сайтов, можно легко сделать поставленное под угрозу поле бесполезным тому, кто бы ни одалживает его от Вас, и смягчите последствие в сети своего поставщика для обнуления.

Этот процесс мог бы занять несколько часов, если Вы не сделали его прежде, и никогда не рассматривали брандмауэр, но могли бы помочь Вам восстановить свой клиентский сервис рискуя тем, чтобы продолжить предоставлять доступ взломщика к Вашим клиентским данным. Так как Вы говорите, что у Вас есть сотни клиентов на одной машине, я предполагаю, что Вы размещаете небольшие веб-сайты брошюры для предприятий малого бизнеса а не 600 систем электронной коммерции, полных номеров кредитных карт. Если это так, это может быть приемлемым риском для Вас и вернуть Вашу систему онлайн быстрее, чем аудит 600 сайтов для ошибок безопасности перед возвращением чего-либо. Но Вы будете знать то, что данные там, и как удобный Вы приняли бы то решение.

Это - абсолютно не лучшая практика, но если это не то, что происходило в Вашем работодателе до сих пор, грозя Вашим пальцем им и прося десятки тысяч фунтов для штурмовой группы для чего-то, что они могли бы чувствовать, Ваш отказ (однако невыровненный!) не походит на практическую опцию.

Справка Вашего ISP здесь будет довольно крайне важной - некоторые ISPs обеспечивают консольный сервер и среду сетевой загрузки (разъем, но по крайней мере Вы знаете, какое средство для поиска), который позволит Вам администрировать сервер, в то время как отключено от сети. Если это - во всем опция, попросите ее и используйте ее.

Но в долгосрочной перспективе необходимо запланировать систему, восстанавливают на основе сообщения Robert и аудита каждого сайта и его установки. Если Вы не могли добавить системного администратора к Вашей команде, искать соглашение об управляемом хостинге, где Вы оплачиваете свой ISP справку sysadminning и 24-часовой ответ для такого рода вещи. Удача :)

52
ответ дан 28 November 2019 в 19:13

Примечание: Это не рекомендация. Мой определенный протокол Реагирования на инциденты, вероятно, не был бы не применяться неизмененный к случаю непобеды Grant.

В наших академических средствах у нас есть приблизительно 300 исследователей, которые только делают вычисление. У Вас есть 600 клиентов с веб-сайтами, таким образом, Ваш протокол будет, вероятно, отличаться.

Первые шаги в нашем, Когда Сервер Получает Поставленный под угрозу Протокол:

  1. Определите, что взломщик смог получить корень (поднятые полномочия)
  2. Отключите затронутый сервер (серверы). Сеть или питание? Посмотрите отдельное обсуждение.
  3. Проверьте все другие системы
  4. Загрузите затронутый сервер (серверы) от живого CD
  5. (Дополнительно) Захват изображения всех системных дисков с dd

  6. Начните делать посмертную судебную экспертизу. Взгляд на журналы, выясните время нападения, найдите файлы, которые были изменены на том времени. Попытаться ответить Как? вопрос.

    • Параллельно, запланируйте и выполните свое восстановление.
    • Измените все пароли root и пароли пользователя прежде, чем возобновить сервис

Даже если "все бэкдоры и руткиты очищены", не полагают, что система - переустанавливает с нуля.

37
ответ дан 28 November 2019 в 19:13

Я сказал бы, что @Robert Moir, @Aleksandr Levchuk, @blueben и @Matthew Bloch является все в значительной степени точечным - на в их ответах.

Однако ответы различных плакатов отличаются - некоторые находятся больше на высоком уровне и разговоре о том, какие процедуры необходимо иметь в распоряжении (в целом).

Я предпочел бы выделять это в несколько отдельных частей 1) Медицинская сортировка, иначе Как иметь дело с клиентами и правовыми последствиями, и определить, куда пойти оттуда (Перечисленный очень хорошо Robert и @blueben 2) Смягчение влияния 3) Реагирование на инциденты 4) Посмертная судебная экспертиза 5) объекты Исправления и изменения архитектуры

(Вставьте шаблон БЕЗ сертифицированного GSC оператора ответа здесь) На основе прошлых опытов я сказал бы следующее:

Независимо от того, как Вы обрабатываете клиентские ответы, уведомления, легальные, и будущие планы, я предпочел бы фокусироваться на основном вопросе под рукой. Исходный вопрос OP действительно только принадлежит непосредственно № 2 и № 3, в основном, как остановить нападение, получить клиентов назад онлайн как можно скорее в их исходном состоянии, которое было хорошо покрыто ответами.

Остальная часть ответов является большой и покрывает много определенных лучших практик, и пути к обоим предотвращают ее в будущем, а также лучше отвечают на нее.

Это действительно зависит от бюджета OP и в каком секторе промышленности они находятся, что их требуемое решение и т.д.

Возможно, они должны нанять специализированный локальный SA. Возможно, им нужен человек безопасности. Или возможно им нужно полностью управляемое решение, такое как Firehost или Rackspace Managed, Softlayer, ServePath и т.д.

Это действительно зависит от какой работы для их бизнеса. Возможно, их ключевая компетенция не находится в управлении сервером, и не имеет смысла для них пытаться разработать это. Или, возможно, они уже - довольно техническая организация и могут принять правильные решения найма и навлечь специализированный полный рабочий день команды.

31
ответ дан 28 November 2019 в 19:13

После взятия за работу и взгляда на сервер нам удалось выяснить проблему. К счастью незаконные файлы были загружены на систему в воскресенье, когда офис закрывается, и никакие файлы не должны быть созданы кроме журналов и файлов кэша. С простой оболочкой управляют для обнаружения, какие файлы были созданы в тот день, мы нашли их.

Все незаконные файлы, кажется, были в/images/папке на некоторых наших более старых zencart сайтах. Кажется, что была уязвимость системы обеспечения безопасности, которая позволила (использующий завихрение) любой идиот загружать неизображения в раздел загрузки изображения в администраторском разделе. Мы удалили оскорбление .php файлы и исправили сценарии загрузки для запрещения любых загрузок файла, которые не являются изображениями.

Ретроспективно, это было довольно просто, и я поднял этот вопрос на своем iPhone на пути в работу. Спасибо за всех Ваших парней справки.

Для ссылки любого, который посещает это сообщение в будущем. Я не рекомендовал бы вытянуть разъем питания.

27
ответ дан 28 November 2019 в 19:13

Я думаю, все сводится к следующему:

Если вы цените свою работу, вам лучше иметь план, и регулярно пересматривайте его.

Неспособность спланировать план ведет к провалу, и это не более справедливо в любом другом месте, чем в системной безопасности. Когда попадает в вентилятор, вам лучше быть готовым с этим справиться.

Здесь применимо другое (несколько банальное) высказывание: Профилактика лучше лечения .

Здесь был ряд рекомендаций, чтобы привлечь экспертов для аудита ваших существующих систем. Я думаю, что задаю вопрос не в то время. Этот вопрос нужно было задать, когда система была внедрена, а ответы задокументированы. Кроме того, вопрос не должен звучать так: «Как мы можем предотвратить проникновение людей?» Это должно быть «Почему люди вообще должны иметь возможность взламывать?» Аудит множества дыр в вашей сети будет работать только до тех пор, пока новые дыры не будут обнаружены и использованы. С другой стороны, сети, которые спроектированы с нуля только для того, чтобы реагировать определенным образом на определенные системы в тщательно спланированном танце, вообще не выиграют от аудита, и средства будут потрачены впустую.

До внедрения системы в Интернете, спросите себя - должно ли это быть 100% выходом в Интернет? Если не, не надо. Подумайте о том, чтобы поставить его за брандмауэр, чтобы вы могли решать, что видит Интернет. Еще лучше, если указанный брандмауэр позволяет вам перехватывать передачи (через обратный прокси-сервер или какой-либо сквозной фильтр), посмотрите на его использование, чтобы разрешить выполнение только законных действий.

Это было сделано - есть ( или был) где-то настроен интернет-банк, у которого есть прокси-сервер для балансировки нагрузки, обращенный к Интернету, который они собирались использовать для векторных атак со своего пула серверов. Эксперт по безопасности Маркус Ранум убедил их принять противоположный подход, используя обратный прокси-сервер, чтобы пропускать только известные действительные URL-адреса, а все остальное отправлять на сервер 404 . Он на удивление хорошо выдержал испытание временем.

Система или сеть, основанная на разрешении по умолчанию, обречена на провал после атаки, которую вы не сделали. т предвидеть случается. Отказ по умолчанию дает вам гораздо больший контроль над тем, что входит, а что нет, потому что вы не позволите чему-либо внутри быть видимым снаружи , если только это чертовски хорошо не должно быть .

] Тем не менее, все это не повод для самоуспокоенности. У вас все еще должен быть план на первые несколько часов после нарушения. Нет идеальной системы, и люди делают ошибки.

16
ответ дан 28 November 2019 в 19:13

Недавно я узнал, как злоумышленник может скомпрометировать систему. Некоторые взломщики пытаются скрыть свои следы, подделывая время модификации файлов. При изменении времени модификации время изменения обновляется (ctime). вы можете увидеть ctime с помощью stat.

В этом вкладыше перечислены все файлы, отсортированные по ctime: 

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

Итак, если вы примерно знаете время взлома, вы можете увидеть, какие файлы изменен или создан.

15
ответ дан 28 November 2019 в 19:13

Теги

Похожие вопросы