Quali sono i passaggi principali che fanno l'analisi forense del box Linux dopo che è stato violato?
Diciamo che è un server Linux generico mail / web / database / ftp / ssh / samba. E ha iniziato a inviare spam, a scansionare altri sistemi. Come iniziare a cercare modi in cui l'hacking è stato fatto e chi è responsabile?
Risposte:
Ecco alcune cose da provare prima di riavviare:
Prima di tutto, se pensi di essere compromesso, scollega il cavo di rete in modo che la macchina non possa fare ulteriori danni.
Quindi, se possibile, astenersi dal riavviare , come molte tracce di un intruso possono essere rimosse riavviando.
Se hai pensato in anticipo e disponevi della registrazione remota , utilizza i tuoi registri remoti, non quelli sulla macchina, poiché è troppo facile per qualcuno manomettere i registri sulla macchina. Ma se non si dispone di registri remoti, esaminare attentamente quelli locali.
Controlla dmesg , poiché verrà sostituito anche al riavvio.
In linux è possibile avere programmi in esecuzione - anche dopo che il file in esecuzione è stato eliminato. Controllare questi con il file di comando / proc / [0-9] * / exe | grep "(cancellato)" . (questi scompaiono al riavvio, ovviamente). Se vuoi salvare una copia del programma in esecuzione su disco, usa / bin / dd se = / proc / nomefile / exe di = nomefile
Se hai conosciuto buone copie di who / ps / ls / netstat, usa questi strumenti per esaminare cosa sta succedendo sulla confezione. Si noti che se è stato installato un rootkit , queste utilità vengono solitamente sostituite con copie che non forniranno informazioni accurate.
Dipende totalmente da ciò che è stato violato, ma in generale,
Controlla i timestamp dei file che sono stati modificati in modo inappropriato e fai un riferimento incrociato a quei tempi con successo ssh (in / var / log / auth *) e ftp (in / var / log / vsftp * se stai usando vsftp come server) per scoprire quale account è stato compromesso e da quale IP è arrivato l'attacco.
Probabilmente puoi scoprire se l'account è stato forzato brutalmente se ci sono stati molti tentativi di accesso non riusciti sullo stesso account. Se non ci sono stati o solo alcuni tentativi di accesso falliti per quell'account, probabilmente la password è stata scoperta in altri modi e il proprietario di quell'account ha bisogno di una lezione sulla sicurezza della password.
Se l'IP proviene da qualche parte nelle vicinanze potrebbe essere un "lavoro interno"
Se l'account di root è stato compromesso, ovviamente sei in grossi guai e, se possibile, riformattare e ricostruire la scatola da zero. Ovviamente dovresti comunque cambiare tutte le password.
Devi controllare tutti i registri delle applicazioni in esecuzione. Ad esempio, i registri di Apache potrebbero indicare come un hacker potrebbe eseguire comandi arbitrari sul tuo sistema.
Controlla anche se hai processi in esecuzione che scansionano i server o inviano spam. In tal caso, l'utente Unix da cui è in esecuzione può dirti come è stata hackerata la tua casella. Se si tratta di dati www, allora sai che è Apache, ecc.
Tieni presente che a volte alcuni programmi come psvengono sostituiti ...
Naaah!
Dovresti spegnere, collegare il disco rigido a un'interfaccia di sola lettura (è un'interfaccia IDE o SATA speciale, o USB, ecc ... che non consente alcuna scrittura, qualcosa del genere: http: //www.forensic- computers.com/handBridges.php ) ed esegui un duplicato esatto con DD.
È possibile farlo su un altro disco rigido o è possibile farlo su un'immagine del disco.
Quindi, conservare in un posto più sicuro e sicuro quel disco rigido, è la prova originale senza manomissioni!
Successivamente, è possibile collegare quel disco clonato o l'immagine nel computer forense. Se è un disco, dovresti collegarlo tramite un'interfaccia di sola lettura e, se hai intenzione di lavorare con un'immagine, montalo 'sola lettura'.
Quindi puoi lavorarci su, ancora e ancora senza cambiare alcun dato ...
Cordiali saluti, ci sono immagini di sistemi "hackerati" su Internet per la pratica, quindi puoi fare forensi "a casa" ...
PS: Che dire del sistema hackerato abbattuto? se penso che il sistema sia compromesso, non lo lascerei connesso, metterei un nuovo disco rigido lì, e ripristinerei un backup o metterei un nuovo server in produzione fino al termine della scientifica ...
Prendi un dump della memoria e analizzalo con uno strumento di analisi forense della memoria, come Second Look .
Dovresti chiederti prima: "Perché?"
Ecco alcuni motivi che hanno senso per me:
Andare oltre questo spesso non ha senso. Alla polizia spesso non importa, e se lo facessero, implorerebbero il tuo hardware e farebbero le proprie analisi forensi.
A seconda di ciò che scopri, potresti essere in grado di semplificarti molto la vita. Se un relay SMTP viene compromesso e si determina che era a causa di una patch mancante sfruttata da una parte esterna, il gioco è fatto. Reinstallare la scatola, applicare patch su tutto ciò che necessita di patch e andare avanti.
Spesso quando viene menzionata la parola "medicina legale", le persone hanno visioni della CSI e pensano a scoprire ogni sorta di dettagli lancinanti su ciò che è accaduto. Può essere quello, ma non renderlo un enorme ascensore se non è necessario.
Consiglio vivamente di leggere " Dead Linux Machines Do Tell Tales ", un articolo di The SANS Institute. È del 2003, ma le informazioni sono ancora preziose oggi.