Jakie są główne etapy analizy kryminalistycznej Linux-a po hakowaniu?

15

Jakie są główne etapy analizy kryminalistycznej Linux-a po hakowaniu?

Powiedzmy, że jest to ogólna poczta linuksowa / web / database / ftp / ssh / samba. I zaczął wysyłać spam, skanować inne systemy. Jak zacząć szukać sposobów włamania i kto jest odpowiedzialny?

Kazimieras Aliulis
źródło

Odpowiedzi:

11

Oto kilka rzeczy do wypróbowania przed ponownym uruchomieniem:

Przede wszystkim, jeśli uważasz, że możesz być narażony na szwank, odłącz kabel sieciowy, aby urządzenie nie mogło wyrządzić dalszych szkód.

Następnie, jeśli to możliwe, powstrzymaj się od ponownego uruchomienia , ponieważ wiele śladów intruza można usunąć przez ponowne uruchomienie.

Jeśli myślisz z wyprzedzeniem i masz zdalne logowanie , użyj dzienników zdalnych, a nie tych na komputerze, ponieważ zbyt łatwo jest komuś ingerować w dzienniki na komputerze. Ale jeśli nie masz dzienników zdalnych, dokładnie sprawdź lokalne.

Sprawdź dmesg , ponieważ zostanie on również zastąpiony przy ponownym uruchomieniu.

W systemie Linux można mieć uruchomione programy - nawet po usunięciu uruchomionego pliku. Sprawdź je za pomocą pliku komend / proc / [0-9] * / exe | grep "(usunięty)" . (te znikają oczywiście przy ponownym uruchomieniu). Jeśli chcesz zapisać kopię uruchomionego programu na dysku, użyj / bin / dd if = / proc / filename / exe of = filename

Jeśli znasz dobre kopie who / ps / ls / netstat, użyj tych narzędzi, aby sprawdzić, co się dzieje na pudełku. Zauważ, że jeśli rootkit został zainstalowany, narzędzia te są zwykle zastępowane kopiami, które nie podają dokładnych informacji.

Brent
źródło
Problem polega na tym, jak sprawdzić, czy twoje kopie ps / ls / ... są dobre. Możesz sprawdzić ich md5sum, ale z drugiej strony md5sum również mógł zostać zastąpiony.
amarillion
2
Trzymam drugą kopię tych krytycznych plików (i md5sum) wraz z md5 sumami oryginałów we wszystkich naszych systemach. Potem mam nagios ręcznie co godzinę sprawdzają sumy md5.
Brent
8

To całkowicie zależy od tego, co zostało zhakowane, ale ogólnie

Sprawdź znaczniki czasowe plików, które zostały zmodyfikowane w niewłaściwy sposób, i odnieś się do nich z udanym ssh (in / var / log / auth *) i ftp (in / var / log / vsftp *, jeśli używasz vsftp jako serwera), aby dowiedz się, które konto zostało przejęte i z którego adresu IP przyszedł atak.

Prawdopodobnie możesz dowiedzieć się, czy konto zostało brutalnie zmuszone, jeśli na tym samym koncie było wiele nieudanych prób logowania. Jeśli nie było żadnych prób logowania do tego konta lub było tylko kilka nieudanych prób, prawdopodobnie hasło zostało odkryte w inny sposób i właściciel tego konta potrzebuje wykładu na temat bezpieczeństwa hasła.

Jeśli adres IP znajduje się gdzieś w pobliżu, może to być „praca wewnętrzna”

Jeśli konto roota zostało przejęte, oczywiście masz duże kłopoty, a ja, jeśli to możliwe, sformatowałem i odbudowałem pudełko od podstaw. Oczywiście i tak powinieneś zmienić wszystkie hasła.

amarillion
źródło
2

Musisz sprawdzić wszystkie dzienniki uruchomionych aplikacji. Na przykład dzienniki Apache mogą informować, w jaki sposób haker może wykonywać dowolne polecenia w systemie.

Sprawdź także, czy masz uruchomione procesy skanujące serwery lub wysyłające spam. W takim przypadku użytkownik systemu Unix, z którego działają, może powiedzieć, w jaki sposób włamano się do twojego urządzenia. Jeśli to dane www, to wiesz, że to Apache itp.

Pamiętaj, że czasami niektóre programy takie jak pssą zastępowane ...

Julien Tartarin
źródło
1

Nie!

Powinieneś zamknąć, podłączyć dysk twardy do interfejsu tylko do odczytu (jest to specjalny interfejs IDE lub SATA, USB itp.), Który nie pozwala na żadne zapisy, coś takiego: http: //www.forensic- computers.com/handBridges.php ) i wykonaj dokładny duplikat za pomocą DD.

Możesz to zrobić na innym dysku twardym lub na obrazie dysku.

Następnie przechowuj w bardziej profesjonalnym i całkowicie bezpiecznym miejscu, ponieważ dysk twardy jest oryginalnym dowodem bez żadnych manipulacji!

Później możesz podłączyć sklonowany dysk lub obraz do komputera kryminalistycznego. Jeśli jest to dysk, należy go podłączyć przez interfejs tylko do odczytu, a jeśli zamierzasz pracować z obrazem, zamontuj go jako „tylko do odczytu”.

Następnie możesz pracować nad tym wielokrotnie, bez zmiany danych ...

Do Twojej wiadomości, w Internecie są „zhakowane” systemy do ćwiczeń, dzięki czemu możesz robić kryminalistykę „w domu” ...

PS: A co z zaatakowanym systemem zaatakowanym przez hakerów? jeśli uważam, że system jest zagrożony, nie zostawiłbym go podłączonego, włożyłem tam nowy dysk twardy i przywróciłem kopię zapasową lub uruchomiłem nowy serwer do czasu zakończenia dochodzenia ...

Andor
źródło
0

Najpierw powinieneś zadać sobie pytanie: „Dlaczego?”

Oto kilka powodów, które mają dla mnie sens:

  • Oceń szkody
  • Pomyśl, jak się dostali
  • Ustal, czy była to praca wewnętrzna

Przekraczanie tego często nie ma sensu. Policja często się tym nie przejmuje, a jeśli tak, to skonfiskują twój sprzęt i przeprowadzą własne analizy kryminalistyczne.

W zależności od tego, czego się dowiesz, możesz znacznie ułatwić sobie życie. Jeśli przekaźnik SMTP zostanie narażony na szwank, a stwierdzisz, że przyczyną był brakujący patch wykorzystywany przez podmiot zewnętrzny, to koniec. Ponownie zainstaluj pudełko, załataj wszystko, co wymaga łatania, i przejdź dalej.

Często, gdy pojawia się słowo „kryminalistyka”, ludzie mają wizje CSI i zastanawiają się nad odkryciem różnego rodzaju dręczących szczegółów na temat tego, co się wydarzyło. Może tak być, ale nie rób wielkiego podnośnika, jeśli nie musisz.

duffbeer703
źródło
Sprawdzam zasady mojej pracodawcy.
Kazimieras Aliulis
Z punktu widzenia administratora, kryminalistyka nie polega na obwinianiu lub kwestiach prawnych, ale na łataniu i lepszym bezpieczeństwie
Brent
0

Nie przeczytałem innych odpowiedzi, ale zrobiłbym z niego obraz ducha, aby zachować dowody i zbadać tylko obraz ... może ...

cop1152
źródło
0

Bardzo polecam przeczytanie „ Dead Linux Machines Do Tell Tales ”, artykułu The SANS Institute. Pochodzi z 2003 roku, ale informacje te są nadal cenne.

andrewd18
źródło