Quais são as principais etapas da análise forense do linux box depois que ele foi hackeado?
15
Quais são as principais etapas da análise forense do linux box depois que ele foi hackeado?
Vamos dizer que é um servidor de linux genérico mail / web / database / ftp / ssh / samba. E começou a enviar spam, verificando outros sistemas. Como começar a procurar maneiras pelas quais o hack foi feito e quem é o responsável?
Aqui estão algumas coisas para tentar antes de reiniciar:
Primeiro de tudo, se você acha que pode estar comprometido, desconecte o cabo de rede para que a máquina não possa causar mais danos.
Se possível, abstenha-se de reiniciar , pois muitos traços de um invasor podem ser removidos reiniciando.
Se você pensou no futuro e tinha o registro remoto no lugar, use seus registros remotos, não os da máquina, pois é muito fácil alguém alterar os registros da máquina. Mas se você não possui logs remotos, examine os locais cuidadosamente.
Verifique o dmesg , pois ele também será substituído na reinicialização.
No linux, é possível ter programas em execução - mesmo após a exclusão do arquivo em execução. Verifique estes com o arquivo de comando / proc / [0-9] * / exe | grep "(excluído)" . (eles desaparecem na reinicialização, é claro). Se você deseja salvar uma cópia do programa em execução no disco, use / bin / dd se = / proc / filename / exe of = filename
Se você conhece boas cópias de quem / ps / ls / netstat, use essas ferramentas para examinar o que está acontecendo na caixa. Observe que, se um rootkit foi instalado, esses utilitários geralmente são substituídos por cópias que não fornecem informações precisas.
O problema é como descobrir se suas cópias de ps / ls / ... são boas. Você pode verificar o md5sum, mas, novamente, o md5sum também pode ter sido substituído.
13409 amarillion
2
Eu mantenho uma segunda cópia desses arquivos críticos (e md5sum), juntamente com os md5sums dos originais em todos os nossos sistemas. Então, os nagios verificam manualmente seus md5sums em busca de uma correspondência a cada hora.
Brent
8
Isso depende totalmente do que foi hackeado, mas, em geral,
Verifique os registros de data e hora dos arquivos que foram modificados de maneira inadequada e faça referência cruzada desses tempos com ssh bem-sucedido (em / var / log / auth *) e ftp (em / var / log / vsftp * se você estiver usando o vsftp como servidor) para descubra qual conta foi comprometida e de qual IP o ataque veio.
Provavelmente, você pode descobrir se a conta foi forçada com força bruta se houve várias tentativas malsucedidas de login na mesma conta. Se houve ou apenas algumas tentativas de login com falha nessa conta, provavelmente a senha foi descoberta de outras maneiras e o proprietário dessa conta precisa de uma palestra sobre segurança de senha.
Se o IP for de algum lugar próximo, pode ser um "trabalho interno"
Se a conta raiz foi comprometida, é claro que você está com um grande problema e, se possível, reformataria e reconstruiria a caixa do zero. Claro que você deve alterar todas as senhas de qualquer maneira.
Você precisa verificar todos os logs dos aplicativos em execução. Por exemplo, os logs do Apache podem dizer como um hacker pode executar comandos arbitrários no seu sistema.
Verifique também se você possui processos em execução que examinam servidores ou enviam spam. Se for esse o caso, o usuário Unix do qual eles estão executando pode dizer como sua caixa foi invadida. Se for www-data, você sabe que é Apache, etc.
Esteja ciente de que, às vezes, alguns programas como o pssão substituídos ...
Você deve desligar, conectar o disco rígido a uma interface somente leitura (é uma interface IDE ou SATA ou USB, etc ... especial que não permite gravações, algo como isto: http: //www.forensic- computers.com/handBridges.php ) e faça um truque exato com o DD.
Você pode fazer isso em outro disco rígido ou em uma imagem de disco.
Em seguida, guarde em um local mais seguro e totalmente seguro esse disco rígido, é a prova original, sem qualquer violação!
Mais tarde, você pode conectar esse disco clonado ou imagem ao seu computador forense. Se for um disco, você deve conectá-lo através de uma interface somente leitura e, se quiser trabalhar com uma imagem, monte-a 'somente leitura'.
Depois, você pode trabalhar nele várias vezes sem alterar nenhum dado ...
Para sua informação, existem imagens de sistemas "hackeados" na internet para a prática, para que você possa fazer análises forenses "em casa" ...
PS: E o sistema invadido derrubado? se eu achar que o sistema está comprometido, não o deixaria conectado, colocaria um novo disco rígido lá e restauraria um backup ou colocaria um novo servidor em produção até o forense terminar ...
Aqui estão algumas razões que fazem sentido para mim:
Avalie o dano
Figura como eles entraram
Determinar se foi um trabalho interno
Ir além disso geralmente não faz sentido. A polícia geralmente não se importa e, se o fizesse, confiscaria seu hardware e faria sua própria análise forense.
Dependendo do que você descobrir, você poderá facilitar sua vida. Se uma retransmissão SMTP for comprometida e você determinar que foi devido a um patch ausente explorado por uma parte externa, está pronto. Reinstale a caixa, corrija o que for necessário e siga em frente.
Muitas vezes, quando a palavra "forense" é apresentada, as pessoas têm visões da CSI e pensam em descobrir todo tipo de detalhes excruciantes sobre o que aconteceu. Pode ser isso, mas não faça um aumento enorme, se você não precisar.
Isso depende totalmente do que foi hackeado, mas, em geral,
Verifique os registros de data e hora dos arquivos que foram modificados de maneira inadequada e faça referência cruzada desses tempos com ssh bem-sucedido (em / var / log / auth *) e ftp (em / var / log / vsftp * se você estiver usando o vsftp como servidor) para descubra qual conta foi comprometida e de qual IP o ataque veio.
Provavelmente, você pode descobrir se a conta foi forçada com força bruta se houve várias tentativas malsucedidas de login na mesma conta. Se houve ou apenas algumas tentativas de login com falha nessa conta, provavelmente a senha foi descoberta de outras maneiras e o proprietário dessa conta precisa de uma palestra sobre segurança de senha.
Se o IP for de algum lugar próximo, pode ser um "trabalho interno"
Se a conta raiz foi comprometida, é claro que você está com um grande problema e, se possível, reformataria e reconstruiria a caixa do zero. Claro que você deve alterar todas as senhas de qualquer maneira.
fonte
Você precisa verificar todos os logs dos aplicativos em execução. Por exemplo, os logs do Apache podem dizer como um hacker pode executar comandos arbitrários no seu sistema.
Verifique também se você possui processos em execução que examinam servidores ou enviam spam. Se for esse o caso, o usuário Unix do qual eles estão executando pode dizer como sua caixa foi invadida. Se for www-data, você sabe que é Apache, etc.
Esteja ciente de que, às vezes, alguns programas como o
ps
são substituídos ...fonte
Naaah!
Você deve desligar, conectar o disco rígido a uma interface somente leitura (é uma interface IDE ou SATA ou USB, etc ... especial que não permite gravações, algo como isto: http: //www.forensic- computers.com/handBridges.php ) e faça um truque exato com o DD.
Você pode fazer isso em outro disco rígido ou em uma imagem de disco.
Em seguida, guarde em um local mais seguro e totalmente seguro esse disco rígido, é a prova original, sem qualquer violação!
Mais tarde, você pode conectar esse disco clonado ou imagem ao seu computador forense. Se for um disco, você deve conectá-lo através de uma interface somente leitura e, se quiser trabalhar com uma imagem, monte-a 'somente leitura'.
Depois, você pode trabalhar nele várias vezes sem alterar nenhum dado ...
Para sua informação, existem imagens de sistemas "hackeados" na internet para a prática, para que você possa fazer análises forenses "em casa" ...
PS: E o sistema invadido derrubado? se eu achar que o sistema está comprometido, não o deixaria conectado, colocaria um novo disco rígido lá e restauraria um backup ou colocaria um novo servidor em produção até o forense terminar ...
fonte
Faça um despejo de memória e analise-o com uma ferramenta forense de memória, como o Second Look .
fonte
Você deve se perguntar primeiro: "Por quê?"
Aqui estão algumas razões que fazem sentido para mim:
Ir além disso geralmente não faz sentido. A polícia geralmente não se importa e, se o fizesse, confiscaria seu hardware e faria sua própria análise forense.
Dependendo do que você descobrir, você poderá facilitar sua vida. Se uma retransmissão SMTP for comprometida e você determinar que foi devido a um patch ausente explorado por uma parte externa, está pronto. Reinstale a caixa, corrija o que for necessário e siga em frente.
Muitas vezes, quando a palavra "forense" é apresentada, as pessoas têm visões da CSI e pensam em descobrir todo tipo de detalhes excruciantes sobre o que aconteceu. Pode ser isso, mas não faça um aumento enorme, se você não precisar.
fonte
Não li as outras respostas, mas faria uma imagem fantasma para preservar as evidências e apenas examinar a imagem ... talvez ...
fonte
Eu recomendo ler " Dead Linux Machines Do Tell Tales ", um artigo do The SANS Institute. É de 2003, mas as informações ainda são valiosas hoje.
fonte