Quali sono i passaggi principali che fanno l'analisi forense del box Linux dopo che è stato violato?


15

Quali sono i passaggi principali che fanno l'analisi forense del box Linux dopo che è stato violato?

Diciamo che è un server Linux generico mail / web / database / ftp / ssh / samba. E ha iniziato a inviare spam, a scansionare altri sistemi. Come iniziare a cercare modi in cui l'hacking è stato fatto e chi è responsabile?

Risposte:


11

Ecco alcune cose da provare prima di riavviare:

Prima di tutto, se pensi di essere compromesso, scollega il cavo di rete in modo che la macchina non possa fare ulteriori danni.

Quindi, se possibile, astenersi dal riavviare , come molte tracce di un intruso possono essere rimosse riavviando.

Se hai pensato in anticipo e disponevi della registrazione remota , utilizza i tuoi registri remoti, non quelli sulla macchina, poiché è troppo facile per qualcuno manomettere i registri sulla macchina. Ma se non si dispone di registri remoti, esaminare attentamente quelli locali.

Controlla dmesg , poiché verrà sostituito anche al riavvio.

In linux è possibile avere programmi in esecuzione - anche dopo che il file in esecuzione è stato eliminato. Controllare questi con il file di comando / proc / [0-9] * / exe | grep "(cancellato)" . (questi scompaiono al riavvio, ovviamente). Se vuoi salvare una copia del programma in esecuzione su disco, usa / bin / dd se = / proc / nomefile / exe di = nomefile

Se hai conosciuto buone copie di who / ps / ls / netstat, usa questi strumenti per esaminare cosa sta succedendo sulla confezione. Si noti che se è stato installato un rootkit , queste utilità vengono solitamente sostituite con copie che non forniranno informazioni accurate.


Il problema è come scoprire se le tue copie di ps / ls / ... sono buone. Potresti controllare il loro md5sum, ma poi anche md5sum potrebbe essere stato sostituito.
amarillion

2
Conservo una seconda copia di quei file critici (e md5sum), insieme ai md5sum degli originali su tutti i nostri sistemi. Poi ho nagios che controllano manualmente i loro md5sums per una partita ogni ora.
Brent,

8

Dipende totalmente da ciò che è stato violato, ma in generale,

Controlla i timestamp dei file che sono stati modificati in modo inappropriato e fai un riferimento incrociato a quei tempi con successo ssh (in / var / log / auth *) e ftp (in / var / log / vsftp * se stai usando vsftp come server) per scoprire quale account è stato compromesso e da quale IP è arrivato l'attacco.

Probabilmente puoi scoprire se l'account è stato forzato brutalmente se ci sono stati molti tentativi di accesso non riusciti sullo stesso account. Se non ci sono stati o solo alcuni tentativi di accesso falliti per quell'account, probabilmente la password è stata scoperta in altri modi e il proprietario di quell'account ha bisogno di una lezione sulla sicurezza della password.

Se l'IP proviene da qualche parte nelle vicinanze potrebbe essere un "lavoro interno"

Se l'account di root è stato compromesso, ovviamente sei in grossi guai e, se possibile, riformattare e ricostruire la scatola da zero. Ovviamente dovresti comunque cambiare tutte le password.


2

Devi controllare tutti i registri delle applicazioni in esecuzione. Ad esempio, i registri di Apache potrebbero indicare come un hacker potrebbe eseguire comandi arbitrari sul tuo sistema.

Controlla anche se hai processi in esecuzione che scansionano i server o inviano spam. In tal caso, l'utente Unix da cui è in esecuzione può dirti come è stata hackerata la tua casella. Se si tratta di dati www, allora sai che è Apache, ecc.

Tieni presente che a volte alcuni programmi come psvengono sostituiti ...


1

Naaah!

Dovresti spegnere, collegare il disco rigido a un'interfaccia di sola lettura (è un'interfaccia IDE o SATA speciale, o USB, ecc ... che non consente alcuna scrittura, qualcosa del genere: http: //www.forensic- computers.com/handBridges.php ) ed esegui un duplicato esatto con DD.

È possibile farlo su un altro disco rigido o è possibile farlo su un'immagine del disco.

Quindi, conservare in un posto più sicuro e sicuro quel disco rigido, è la prova originale senza manomissioni!

Successivamente, è possibile collegare quel disco clonato o l'immagine nel computer forense. Se è un disco, dovresti collegarlo tramite un'interfaccia di sola lettura e, se hai intenzione di lavorare con un'immagine, montalo 'sola lettura'.

Quindi puoi lavorarci su, ancora e ancora senza cambiare alcun dato ...

Cordiali saluti, ci sono immagini di sistemi "hackerati" su Internet per la pratica, quindi puoi fare forensi "a casa" ...

PS: Che dire del sistema hackerato abbattuto? se penso che il sistema sia compromesso, non lo lascerei connesso, metterei un nuovo disco rigido lì, e ripristinerei un backup o metterei un nuovo server in produzione fino al termine della scientifica ...



0

Dovresti chiederti prima: "Perché?"

Ecco alcuni motivi che hanno senso per me:

  • Valuta il danno
  • Immagina come sono entrati
  • Determina se si trattava di un lavoro interno

Andare oltre questo spesso non ha senso. Alla polizia spesso non importa, e se lo facessero, implorerebbero il tuo hardware e farebbero le proprie analisi forensi.

A seconda di ciò che scopri, potresti essere in grado di semplificarti molto la vita. Se un relay SMTP viene compromesso e si determina che era a causa di una patch mancante sfruttata da una parte esterna, il gioco è fatto. Reinstallare la scatola, applicare patch su tutto ciò che necessita di patch e andare avanti.

Spesso quando viene menzionata la parola "medicina legale", le persone hanno visioni della CSI e pensano a scoprire ogni sorta di dettagli lancinanti su ciò che è accaduto. Può essere quello, ma non renderlo un enorme ascensore se non è necessario.


È la mia politica dei datori di lavoro indagare.
Kazimieras Aliulis,

Dal punto di vista di un amministratore di sistema, la medicina legale non si tratta di incolpare o problemi legali, ma di rattoppare e migliorare la sicurezza
Brent,

0

Non ho letto le altre risposte, ma ne farei un'immagine fantasma per preservare le prove ed esaminare solo l'immagine .... forse ...


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.