Я не использовал его, но что-то как Марионетка должно установить полномочия.
Я использовал rdist, чтобы продвинуть и запустить скрипт сценарии на нескольких хостах, которыми я управляю. Было бы достаточно легко добавить, что команды должны были установить полномочия на сценарий, который Вы продвигаете.
Трудно дать определенный совет от того, что Вы отправили здесь, но у меня действительно есть некоторый универсальный совет на основе сообщения, которое я записал давным-давно назад, когда я мог все еще быть побеспокоен для блоггинга.
Первые вещи сначала, нет никаких "быстрых исправлений" кроме восстановления Вашей системы от резервного копирования, взятого до проникновения, и это имеет по крайней мере две проблемы.
Этот вопрос продолжает спрашиваться неоднократно жертвами хакеров, врывающихся в их веб-сервер. Ответы очень редко изменяются, но люди продолжают задавать вопрос. Я не уверен почему. Возможно, людям просто не нравятся ответы, которые они видели при поиске справки, или они не могут найти кого-то, кому они доверяют, чтобы дать им совет. Или возможно люди читают ответ на этот вопрос и фокусируются слишком много на 5% того, почему их случай является особенным и отличается от ответов, которые они могут найти онлайн и пропустить 95% вопроса и ответить, где их случай около достаточно того же как то, они читают онлайн.
Это приносит мне к первому важному самородку информации. Я действительно ценю, что Вы - специальная уникальная снежинка. Я ценю, что Ваш веб-сайт также, как это - отражение Вас и Вашего бизнеса или по крайней мере, Вашей тяжелой работы от имени работодателя. Но кому-то на заглядывающей внешней стороне, вероятно ли человек компьютерной безопасности, смотрящий на проблему, чтобы попытаться помочь Вам или даже самому взломщику, что Ваша проблема будет по крайней мере на 95% идентична любому случаю, на который они когда-либо смотрели.
Не предпринимайте нападение лично и не берите рекомендации, которые следуют здесь или что Вы добираетесь от других людей лично. Если Вы читаете это после просто становления жертвой взлома веб-сайта затем, я действительно сожалею, и я действительно надеюсь, что можно найти что-то полезным здесь, но это не время, чтобы позволить эго помешать тому, что необходимо сделать.
Вы только что узнали, что Ваш сервер (серверы) был взломан. Теперь, что?
Не паниковать. Абсолютно не действуйте в поспешности и абсолютно не пытайтесь притвориться, что вещи никогда не происходили и не действие вообще.
Во-первых: поймите, что авария уже произошла. Это не время для отказа; это - время для принятия то, что произошло, чтобы быть реалистичным относительно этого и предпринять шаги для управления последствиями влияния.
Некоторые из этих шагов собираются причинить боль, и (если Ваш веб-сайт не содержит копию моих деталей), я действительно не забочусь, игнорируете ли Вы все или некоторые из этих шагов, Вам решать Но следующий за ними правильно сделает вещи лучше в конце. Медицина могла бы являться на вкус ужасной, но иногда необходимо забыть это, если Вы действительно хотите, чтобы средство исправления работало.
Мешайте проблеме стать хуже, чем это уже:
Однако раздражаемый Ваши клиенты могли бы быть должны сделать, чтобы Вы сказали им о проблеме, они будут намного более раздражаться, если Вы не скажете им, и они только узнают для себя после того, как кто-то заряжает ценность за 8 000$ товаров с помощью данных кредитной карты, которые они украли из сайта.
Помните то, что я сказал ранее? Плохая вещь уже произошла. Единственный вопрос теперь состоит в том, как хорошо Вы имеете дело с ним.
Поймите проблему полностью:
Почему не только "восстанавливают" использование или руткит, который Вы обнаружили и отложили систему онлайн?
В таких ситуациях проблема состоит в том, что Вы не имеете контроля над той системой больше. Это больше не Ваш компьютер.
Единственный способ быть уверенным, что у Вас есть управление системы, состоит в том, чтобы восстановить систему. В то время как существует много значения в нахождении и фиксации использования, используемого для вторжения в систему, Вы не можете быть уверены в том, что еще было сделано к системе, после того как злоумышленники получили контроль (действительно, не неслыханный для хакеров, которые принимают на работу системы в ботнет для исправления использования, которое они использовали сами, для охраны "их" нового компьютера от других хакеров, а также установки их руткита).
Сделайте план относительно восстановления и возвращать Ваш веб-сайт онлайн и придерживаться его:
Никто не хочет быть в режиме офлайн для дольше, чем они должны быть. Это - данный. Если этот веб-сайт будет генерирующимся механизмом дохода затем давление для возвращения, то это онлайн быстро будет интенсивно. Даже если единственная вещь под угрозой - Ваш / репутация Вашей компании, это все еще идет, генерируют большое давление для откладывания вещей быстро.
Однако не признавайте искушение возвратиться онлайн слишком быстро. Вместо этого переместитесь с максимально быстро для понимания то, что вызвало проблему и решить его перед возвращением онлайн, или иначе Вы почти наверняка падете жертвой проникновения еще раз и помнить, "быть взломанным однажды может быть классифицировано как неудача; быть взломанным снова прямо позже похоже на небрежность" (с извинениями Oscar Wilde).
Снижение риска в будущем.
Первая вещь, которую необходимо понять, состоит в том, что безопасность является процессом, который необходимо применить в течение всего жизненного цикла разработки, развертывания и обслуживания стоящей с Интернетом системы, не чего-то, что можно хлопнуть несколько слоев по коду впоследствии как дешевая краска. Чтобы быть правильно безопасными, сервис и приложение должны быть разработаны от запуска с этим в памяти как одна из главных целей проекта. Я понимаю, что это скучно, и Вы услышали все это прежде и что я "просто не понимаю человека давления" получения Вашей беты web2.0 (бета), сервис в бета состояние в сети, но факт - то, что это продолжает повторяться, потому что это было верно в первый раз, когда это было сказано, и это еще не стало ложью.
Вы не можете устранить риск. Вы не должны даже пытаться сделать это. Что необходимо сделать, однако должен понять, какие угрозы безопасности важны для Вас и понимают, как справиться и уменьшить и влияние риска и вероятность, что риск произойдет.
Какие шаги можно сделать для сокращения вероятности нападения, являющегося успешным?
Например:
Какие шаги можно сделать для сокращения последствий успешного нападения?
Если Вы решаете, что "риск" цокольного этажа Вашей домашней лавинной рассылки высок, но не достаточно высоко гарантировать перемещение, необходимо, по крайней мере, переместить незаменимые семейные реликвии семейства наверх.Правильно?
... И наконец
Я, вероятно, не не учел конца материала, который другие считают важными, но шаги выше должны, по крайней мере, помочь Вам начать вещи сортировки, если Вы достаточно неудачны, чтобы пасть жертвой хакеров.
Прежде всего: не паниковать. Думайте перед действием. Закон твердо, после того как Вы приняли решение и оставляете комментарий ниже, если у Вас есть что-то для добавления к моему списку шагов.
CERT имеет документ Шаги для Восстановления с UNIX или Системного Компромисса NT, который хорош. Определенные технические детали этого документа несколько устарели, но много общих рекомендаций все еще непосредственно применяется.
Быстрая сводка основных шагов - это.
Я хотел бы конкретно указать на Вас на раздел E.1.
E.1. Следует иметь в виду, что, если машина поставлена под угрозу, что-либо в той системе, возможно, было изменено, включая ядро, двоичные файлы, файлы данных, выполнив процессы и память. В целом единственный способ положить, что машина лишена бэкдоров и модификаций злоумышленника, состоит в том, чтобы переустановить работу
Если у Вас уже нет системы на месте как растяжка нет никакого возможного способа для Вас быть на 100% уверенным, что Вы очистили систему.
Необходимо переустановить. Сохраните то, в чем Вы действительно нуждаетесь. Но имейте в виду, что все Ваши выполнимые файлы можно было бы заразить и вмешаться. Я записал следующее в Python: http://frw.se/monty.py, который создает MD5-sumbs всех Ваших файлов в данном каталоге и в следующий раз, когда Вы выполняете его, он проверяет, было ли что-нибудь изменено и затем произведено, какие измененные файлы и что изменилось в файлах.
Это могло быть удобно для Вас, чтобы видеть, изменяются ли странные файлы регулярно.
Но единственная вещь, которую необходимо делать теперь, удаляет компьютер из Интернета.
В моем ограниченном опыте системные компромиссы на Linux имеют тенденцию быть более 'всесторонними', чем они находятся в Windows. Корневые наборы, намного более вероятно, будут включать системные двоичные файлы замены со специализированным кодом для сокрытия вредоносного программного обеспечения и барьера для горячего исправления, ядро немного ниже. Плюс, это - домашняя ОС для большого количества вредоносных авторов. Общее руководство состоит в том, чтобы всегда восстанавливать затронутый сервер с нуля, и это - общее руководство по причине.
Формат тот щенок.
Но, если Вы не можете восстановить (или the-powers-that-be не позволит Вам восстановить его против своей напряженной настойчивости, что этому нужен он), что Вы ищете?
Так как это кажется, что было некоторое время, так как проникновение было обнаружено, и восстановление системы было сделано, очень вероятно, что трассировки того, как они вошли, затоптались в паническом бегстве для восстановления сервиса. Неудачный.
Необычный сетевой трафик является, вероятно, самым легким найти, поскольку это не включает выполнение ничего на поле и может быть сделано, в то время как сервер возрос и выполнение вообще. Предположение, конечно, Ваше сетевое оборудование позволяет охват порта. То, что Вы находите, может или не может быть диагностикой, но по крайней мере это - информация. Получение необычного трафика будет убедительными доказательствами, что система все еще поставлена под угрозу и выравнивание потребностей. Это могло бы быть достаточно хорошо, чтобы убедить TPTB, что переформатировать действительно, действительно, стоит времени простоя.
Сбой этого, возьмите dd-копию своих системных разделов и смонтируйте их на другом поле. Начните сравнивать содержание с сервером на том же уровне установки патча как поставленный под угрозу. Это должно помочь Вам определить то, что выглядит по-другому (те md5sums снова) и может указать на упущенные области на поставленном под угрозу сервере. Это - БОЛЬШОЕ отсеивание через каталоги и двоичные файлы, и будет довольно трудоемки. Это может даже быть более трудоемки, чем переформатировать/восстанавливание было бы и может быть другой вещью подбросить TPTB ударом о фактическом выполнении переформатировать, этому действительно нужно.
Это походит, находятся в немного по Вашей голове; это в порядке. Позвоните своему боссу и начните согласовывать для чрезвычайного бюджета на ответ безопасности. 10 000$ могли бы быть хорошим местом для запуска. Затем необходимо заставить кого-то (PFY, коллега, менеджер) начинать называть компании, которые специализируются на реагировании на инциденты безопасности. Многие могут ответить в течение 24 часов, и иногда еще быстрее, если у них есть офис в Вашем городе.
Вам также нужен кто-то для сортирования клиентов; Несомненно, кто-то уже. Кто-то должен разговаривать по телефону с ними для объяснения, что продолжается, что делается, чтобы обработать ситуацию и ответить на их вопросы.
Затем Вы должны...
Останьтесь спокойными. Если Вы отвечаете за реагирование на инциденты, что Вы делаете теперь потребности продемонстрировать предельный профессионализм и лидерство. Зарегистрируйте все, что Вы делаете и сохраняете своего менеджера и высшее исполнительное руководство информируемыми об основных мерах, которые Вы принимаете; это включает работу с командой реагирования, отключение серверов, данных резервного копирования и обеспечения вещей онлайн снова. Им не нужны окровавленные детали, но они должны получать известие от Вас каждые 30 минут или около этого.
Будьте реалистичны. Вы не специалист по безопасности, и существуют вещи, которые Вы не знаете. Это в порядке. При входе серверов и рассмотрении данных, необходимо понять пределы. Шагайте мягко. В ходе Вашего расследования удостоверьтесь, что Вы не топаете на важной информации или изменяете что-то, что могло бы быть необходимо позже. Если Вы чувствуете себя неловко или что Вы предполагаете, это - хорошее место, чтобы остановить и заставить опытного профессионала вступать во владение.
Получите чистую карту с интерфейсом USB и сэкономьте жесткие диски. Вы соберете доказательства здесь. Сделайте резервные копии из всего, что Вы чувствуете, может быть релевантным; связь с Вашим ISP, сетевыми дампами, и т.д. Даже если охрана правопорядка не примет участие, в случае судебного процесса, то Вы захотите, чтобы это доказательство доказало, что Ваша компания обработала инцидент безопасности профессиональным и соответствующим способом.
Самый важный должен остановить потерю. Определите и отключите доступ к поставленным под угрозу сервисам, данным и машинам. Предпочтительно, необходимо вытянуть их сетевой кабель; если Вы не можете, затем вытянуть питание.
Затем, необходимо удалить взломщика и закрыть дыру (дыры). По-видимому, у взломщика больше нет интерактивного доступа, потому что Вы вытянули сеть. Теперь необходимо определить, документ (с резервными копиями, снимками экрана и собственными персональными наблюдательными примечаниями; или предпочтительно даже путем удаления дисков из затронутых серверов и создания полной копии образа диска), и затем удаляют любой код и процессы, которые он оставил позади. Эта следующая часть высосет, если у Вас не будет резервных копий; можно попытаться распутать взломщика от системы вручную, но Вы никогда не будете уверены, что получили все, что он оставил позади. Руткиты порочны, и не все обнаруживаемы. Лучший ответ должен будет определить уязвимость, в которую он раньше входил, делал копии изображения проблемных дисков и затем вытирал затронутые системы и перезагрузку от известного хорошего резервного копирования. Вслепую не доверяйте своему резервному копированию; проверьте его! Восстановите или закройте уязвимость, прежде чем новый хост пойдет на сеть снова, и затем принесите его онлайн.
Организуйте все свои данные в отчет. В этой точке закрывается уязвимость, и у Вас есть некоторое время для дыхания. Не испытывайте желание пропустить этот шаг; это еще более важно, чем остальная часть процесса. В отчете необходимо определить то, что пошло не так, как надо, как команда ответила, и шаги, которые Вы делаете, чтобы препятствовать тому, чтобы этот инцидент произошел снова. Будьте столь подробными, как Вы можете; это не только для Вас, но и для Вашего управления и как защита в потенциальном судебном процессе.
Это - очень высокий обзор того, что сделать; большая часть работы является просто документацией и резервной обработкой. Не паникуйте, можно сделать тот материал. Я настоятельно рекомендую получить профессиональную справку безопасности. Даже если можно обработать то, что продолжается, их справка будет неоценима, и они обычно идут с оборудованием для создания процесса легче и быстрее. Если Ваш босс передумал относительно стоимости, напомните ему, что это является очень маленьким по сравнению с обработкой судебного процесса.
У Вас есть мои утешения для Вашей ситуации.Удачи.
Ответ "горькой пилюли" Robert является пятном - на, но абсолютно универсальный (хорошо, как был Ваш вопрос). Это действительно кажется, что у Вас есть проблема управления и в страшной потребности полностью занятого системного администратора, если у Вас есть один сервер и 600 клиентов, но это не помогает Вам теперь.
Я выполняю хостинговую компанию, которая обеспечивает немного содержания руки в этой ситуации, таким образом, я имею дело с большим количеством поставленных под угрозу машин, но также и соглашением в лучшей практике для нашего собственного. Мы всегда говорим нашим скомпрометированным клиентам восстанавливать, если они не абсолютно уверены в природе компромисса. В долгосрочной перспективе нет никакого другого ответственного маршрута.
Однако Вы - почти наверняка просто жертва деточки сценария, которая хотела стартовый стол для DoS-атак, или вышибал IRC или что-то абсолютно несвязанное с сайтами и данными Ваших клиентов. Поэтому как временная мера, в то время как Вы восстанавливаете, Вы могли бы рассмотреть перевод в рабочее состояние тяжелого исходящего брандмауэра на Вашем поле. Если можно заблокировать весь исходящий UDP и соединения TCP, которые не абсолютно необходимы для функционирования сайтов, можно легко сделать поставленное под угрозу поле бесполезным тому, кто бы ни одалживает его от Вас, и смягчите последствие в сети своего поставщика для обнуления.
Этот процесс мог бы занять несколько часов, если Вы не сделали его прежде, и никогда не рассматривали брандмауэр, но могли бы помочь Вам восстановить свой клиентский сервис рискуя тем, чтобы продолжить предоставлять доступ взломщика к Вашим клиентским данным. Так как Вы говорите, что у Вас есть сотни клиентов на одной машине, я предполагаю, что Вы размещаете небольшие веб-сайты брошюры для предприятий малого бизнеса а не 600 систем электронной коммерции, полных номеров кредитных карт. Если это так, это может быть приемлемым риском для Вас и вернуть Вашу систему онлайн быстрее, чем аудит 600 сайтов для ошибок безопасности перед возвращением чего-либо. Но Вы будете знать то, что данные там, и как удобный Вы приняли бы то решение.
Это - абсолютно не лучшая практика, но если это не то, что происходило в Вашем работодателе до сих пор, грозя Вашим пальцем им и прося десятки тысяч фунтов для штурмовой группы для чего-то, что они могли бы чувствовать, Ваш отказ (однако невыровненный!) не походит на практическую опцию.
Справка Вашего ISP здесь будет довольно крайне важной - некоторые ISPs обеспечивают консольный сервер и среду сетевой загрузки (разъем, но по крайней мере Вы знаете, какое средство для поиска), который позволит Вам администрировать сервер, в то время как отключено от сети. Если это - во всем опция, попросите ее и используйте ее.
Но в долгосрочной перспективе необходимо запланировать систему, восстанавливают на основе сообщения Robert и аудита каждого сайта и его установки. Если Вы не могли добавить системного администратора к Вашей команде, искать соглашение об управляемом хостинге, где Вы оплачиваете свой ISP справку sysadminning и 24-часовой ответ для такого рода вещи. Удача :)
Примечание: Это не рекомендация. Мой определенный протокол Реагирования на инциденты, вероятно, не был бы не применяться неизмененный к случаю непобеды Grant.
В наших академических средствах у нас есть приблизительно 300 исследователей, которые только делают вычисление. У Вас есть 600 клиентов с веб-сайтами, таким образом, Ваш протокол будет, вероятно, отличаться.
Первые шаги в нашем, Когда Сервер Получает Поставленный под угрозу Протокол:
dd
Начните делать посмертную судебную экспертизу. Взгляд на журналы, выясните время нападения, найдите файлы, которые были изменены на том времени. Попытаться ответить Как? вопрос.
Даже если "все бэкдоры и руткиты очищены", не полагают, что система - переустанавливает с нуля.
Я сказал бы, что @Robert Moir, @Aleksandr Levchuk, @blueben и @Matthew Bloch является все в значительной степени точечным - на в их ответах.
Однако ответы различных плакатов отличаются - некоторые находятся больше на высоком уровне и разговоре о том, какие процедуры необходимо иметь в распоряжении (в целом).
Я предпочел бы выделять это в несколько отдельных частей 1) Медицинская сортировка, иначе Как иметь дело с клиентами и правовыми последствиями, и определить, куда пойти оттуда (Перечисленный очень хорошо Robert и @blueben 2) Смягчение влияния 3) Реагирование на инциденты 4) Посмертная судебная экспертиза 5) объекты Исправления и изменения архитектуры
(Вставьте шаблон БЕЗ сертифицированного GSC оператора ответа здесь) На основе прошлых опытов я сказал бы следующее:
Независимо от того, как Вы обрабатываете клиентские ответы, уведомления, легальные, и будущие планы, я предпочел бы фокусироваться на основном вопросе под рукой. Исходный вопрос OP действительно только принадлежит непосредственно № 2 и № 3, в основном, как остановить нападение, получить клиентов назад онлайн как можно скорее в их исходном состоянии, которое было хорошо покрыто ответами.
Остальная часть ответов является большой и покрывает много определенных лучших практик, и пути к обоим предотвращают ее в будущем, а также лучше отвечают на нее.
Это действительно зависит от бюджета OP и в каком секторе промышленности они находятся, что их требуемое решение и т.д.
Возможно, они должны нанять специализированный локальный SA. Возможно, им нужен человек безопасности. Или возможно им нужно полностью управляемое решение, такое как Firehost или Rackspace Managed, Softlayer, ServePath и т.д.
Это действительно зависит от какой работы для их бизнеса. Возможно, их ключевая компетенция не находится в управлении сервером, и не имеет смысла для них пытаться разработать это. Или, возможно, они уже - довольно техническая организация и могут принять правильные решения найма и навлечь специализированный полный рабочий день команды.
После взятия за работу и взгляда на сервер нам удалось выяснить проблему. К счастью незаконные файлы были загружены на систему в воскресенье, когда офис закрывается, и никакие файлы не должны быть созданы кроме журналов и файлов кэша. С простой оболочкой управляют для обнаружения, какие файлы были созданы в тот день, мы нашли их.
Все незаконные файлы, кажется, были в/images/папке на некоторых наших более старых zencart сайтах. Кажется, что была уязвимость системы обеспечения безопасности, которая позволила (использующий завихрение) любой идиот загружать неизображения в раздел загрузки изображения в администраторском разделе. Мы удалили оскорбление .php файлы и исправили сценарии загрузки для запрещения любых загрузок файла, которые не являются изображениями.
Ретроспективно, это было довольно просто, и я поднял этот вопрос на своем iPhone на пути в работу. Спасибо за всех Ваших парней справки.
Для ссылки любого, который посещает это сообщение в будущем. Я не рекомендовал бы вытянуть разъем питания.
Я думаю, все сводится к следующему:
Если вы цените свою работу, вам лучше иметь план, и регулярно пересматривайте его.
Неспособность спланировать план ведет к провалу, и это не более справедливо в любом другом месте, чем в системной безопасности. Когда
Здесь применимо другое (несколько банальное) высказывание: Профилактика лучше лечения .
Здесь был ряд рекомендаций, чтобы привлечь экспертов для аудита ваших существующих систем. Я думаю, что задаю вопрос не в то время. Этот вопрос нужно было задать, когда система была внедрена, а ответы задокументированы. Кроме того, вопрос не должен звучать так: «Как мы можем предотвратить проникновение людей?» Это должно быть «Почему люди вообще должны иметь возможность взламывать?» Аудит множества дыр в вашей сети будет работать только до тех пор, пока новые дыры не будут обнаружены и использованы. С другой стороны, сети, которые спроектированы с нуля только для того, чтобы реагировать определенным образом на определенные системы в тщательно спланированном танце, вообще не выиграют от аудита, и средства будут потрачены впустую.
До внедрения системы в Интернете, спросите себя - должно ли это быть 100% выходом в Интернет? Если не, не надо. Подумайте о том, чтобы поставить его за брандмауэр, чтобы вы могли решать, что видит Интернет. Еще лучше, если указанный брандмауэр позволяет вам перехватывать передачи (через обратный прокси-сервер или какой-либо сквозной фильтр), посмотрите на его использование, чтобы разрешить выполнение только законных действий.
Это было сделано - есть ( или был) где-то настроен интернет-банк, у которого есть прокси-сервер для балансировки нагрузки, обращенный к Интернету, который они собирались использовать для векторных атак со своего пула серверов. Эксперт по безопасности Маркус Ранум убедил их принять противоположный подход, используя обратный прокси-сервер, чтобы пропускать только известные действительные URL-адреса, а все остальное отправлять на сервер 404 . Он на удивление хорошо выдержал испытание временем.
Система или сеть, основанная на разрешении по умолчанию, обречена на провал после атаки, которую вы не сделали. т предвидеть случается. Отказ по умолчанию дает вам гораздо больший контроль над тем, что входит, а что нет, потому что вы не позволите чему-либо внутри быть видимым снаружи , если только это чертовски хорошо не должно быть .
] Тем не менее, все это не повод для самоуспокоенности. У вас все еще должен быть план на первые несколько часов после нарушения. Нет идеальной системы, и люди делают ошибки.
Недавно я узнал, как злоумышленник может скомпрометировать систему. Некоторые взломщики пытаются скрыть свои следы, подделывая время модификации файлов. При изменении времени модификации время изменения обновляется (ctime). вы можете увидеть ctime с помощью stat.
В этом вкладыше перечислены все файлы, отсортированные по ctime:
find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt
Итак, если вы примерно знаете время взлома, вы можете увидеть, какие файлы изменен или создан.