Menemukan bagaimana server yang diretas diretas

11

Saya baru saja menelusuri situs dan menemukan pertanyaan ini: Server saya telah diretas DARURAT . Pada dasarnya pertanyaan mengatakan: Server saya telah diretas. Apa yang harus saya lakukan?

The jawaban terbaik yang sangat baik tetapi mengangkat beberapa pertanyaan dalam pikiran saya. Salah satu langkah yang disarankan adalah:

Periksa sistem yang 'diserang' untuk memahami bagaimana serangan berhasil membahayakan keamanan Anda. Berusahalah untuk mengetahui dari mana serangan "berasal", sehingga Anda memahami masalah apa yang Anda miliki dan perlu atasi untuk membuat sistem Anda aman di masa depan.

Saya tidak melakukan pekerjaan sistem admin jadi saya tidak tahu bagaimana saya akan mulai melakukan ini. Apa yang akan menjadi langkah pertama? Saya tahu bahwa Anda bisa melihat file log server tetapi sebagai penyerang hal pertama yang akan saya lakukan adalah menghapus file log. Bagaimana Anda "memahami" bagaimana serangan itu berhasil?

security sixtyfootersdude
sumber
Saya telah melihat beberapa server 'diretas' dan tidak satupun dari mereka yang menghapus log; Saya tahu itu sering terjadi. Penyerang biasanya memiliki tujuan utama (mencuri data atau menggunakan server sebagai proxy / perantara umumnya) dan mengaburkan entri mereka adalah tujuan sekunder.
Chris S
IMHO akan lebih baik untuk bertanya pada diri sendiri bagaimana cara lebih baik mengamankan server dan bagaimana cara mengauditnya dengan benar.
tmow
Di zaman sekarang ini server "diretas" sering kali berasal dari alat skrip kiddie otomatis yang jarang menghapus log, seringkali hanya sedikit berusaha menyembunyikan diri.
Sirex

Jawaban:

11

Saya akan mulai dengan mengatakan ini, jika Anda TIDAK MEMILIKI LOG , maka ada peluang yang cukup bagus bahwa Anda TIDAK PERNAH akan mengerti di mana atau bagaimana serangan itu berhasil. Bahkan dengan file log yang lengkap dan tepat, bisa sangat sulit untuk memahami sepenuhnya, siapa, apa, di mana, kapan, mengapa dan bagaimana.

Jadi, mengetahui betapa pentingnya file log, Anda mulai memahami seberapa aman Anda harus menyimpannya. Itulah sebabnya perusahaan melakukan dan harus berinvestasi dalam Informasi Keamanan & Manajemen Acara atau singkatnya SIEM.

SIEM

Singkatnya, mengkorelasikan semua file log Anda ke peristiwa tertentu (berdasarkan waktu atau lainnya) bisa menjadi tugas yang sangat menakutkan. Coba lihat syslog firewall Anda dalam mode debug jika Anda tidak percaya. Dan itu hanya dari satu alat! Proses SIEM menempatkan file-file log ini ke dalam serangkaian peristiwa logis yang membuat mencari tahu apa yang terjadi, jauh lebih mudah untuk dipahami.

Untuk mulai memiliki pemahaman yang lebih baik tentang caranya, akan sangat membantu untuk mempelajari metodologi penetrasi .

Sangat membantu untuk mengetahui bagaimana virus ditulis. Atau cara menulis rootkit .

Ini juga bisa sangat bermanfaat untuk membuat dan mempelajari honeypot .

Ini juga membantu untuk memiliki parser log dan menjadi mahir dengannya.

Sangat membantu untuk mengumpulkan garis dasar untuk jaringan dan sistem Anda. Apa lalu lintas "normal" dalam situasi Anda vs. lalu lintas "abnormal"?

CERT memiliki panduan yang sangat baik tentang apa yang harus dilakukan setelah komputer Anda diretas, terutama (yang secara langsung berkaitan dengan pertanyaan spesifik Anda) bagian tentang "Analisis intrusi":

  • Cari modifikasi yang dilakukan pada perangkat lunak sistem dan file konfigurasi
  • Cari modifikasi data
  • Cari alat dan data yang ditinggalkan oleh pengganggu
  • Tinjau file log
  • Cari tanda-tanda sniffer jaringan
  • Periksa sistem lain di jaringan Anda
  • Periksa sistem yang terlibat atau terpengaruh di situs jarak jauh

Ada banyak pertanyaan serupa dengan pertanyaan Anda yang diajukan di SF:

  1. Cara melakukan post-mortem peretasan server
  2. Item Aneh di File Hosts dan Netstat
  3. apakah ini upaya hack?
  4. Bagaimana saya bisa belajar Linux dari sudut pandang peretasan atau keamanan

Ini bisa menjadi proses yang sangat rumit dan terlibat. Kebanyakan orang, termasuk saya, hanya akan menyewa seorang konsultan jika melibatkan lebih banyak dari apa yang bisa disatukan oleh peralatan SIEM saya.

Dan, tampaknya, jika Anda ingin sepenuhnya memahami bagaimana sistem Anda diretas, Anda harus menghabiskan waktu bertahun - tahun untuk mempelajarinya dan melepaskan wanita.

GregD
sumber
+1 untuk meletakkan dasar sebelum terjadi dengan SIEM
Rob Moir
Maaf. Jawaban saya agak banyak di semua tempat saat ini. Saya mulai menulis pada jam 04:00 dan kopi IV saya belum dimasukkan.
GregD
2

Jawaban untuk itu sedikit saja bisa sejuta mil lebar dan tinggi, dan membongkar apa yang terjadi pada server yang diretas bisa menjadi bentuk seni sebanyak yang lainnya, jadi sekali lagi saya akan memberikan poin awal dan contoh daripada set yang pasti langkah-langkah untuk diikuti.

Satu hal yang perlu diingat adalah bahwa sekali Anda menghadapi intrusi Anda dapat mengaudit kode Anda, administrasi / konfigurasi sistem Anda dan prosedur dengan pengetahuan bahwa pasti ada kelemahan di sana. Itu membantu mendorong motivasi lebih dari sekadar mencari kelemahan teoretis yang mungkin ada atau tidak ada. Cukup sering orang menaruh barang secara online sementara mengetahui kode bisa diaudit sedikit lebih keras, kalau saja kita punya waktu; atau sistem terkunci sedikit lebih kuat, kalau saja itu tidak terlalu merepotkan; atau prosedur menjadi sedikit lebih ketat, kalau saja itu tidak mengganggu bos untuk mengingat kata sandi yang panjang. Kita semua tahu di mana titik lemah kita yang paling mungkin, jadi mulailah dari itu.

Dalam dunia yang ideal Anda akan memiliki log yang disimpan di server syslog yang berbeda (semoga tidak dikompromikan) , tidak hanya dari server tetapi dari firewall, router, dll yang juga mencatat lalu lintas. Ada juga alat-alat seperti Nessus yang tersedia yang dapat menganalisis sistem dan mencari kelemahan.

Untuk perangkat lunak / kerangka kerja dari pihak ketiga, seringkali ada panduan praktik terbaik yang dapat Anda gunakan untuk mengaudit penyebaran Anda, atau Anda mungkin lebih memperhatikan berita keamanan dan jadwal perbaikan dan mengungkap beberapa lubang yang mungkin telah digunakan.

Terakhir, sebagian besar intrusi meninggalkan spoor ... jika Anda punya waktu dan kesabaran untuk menemukannya. "Drive by" skrip intrusi kiddie atau pembobolan in menggunakan alat peretasan cenderung berfokus pada kelemahan umum dan dapat meninggalkan pola yang mengarahkan Anda ke arah yang benar. Hal yang paling sulit untuk dianalisis adalah intrusi yang diarahkan secara manual (misalnya seseorang tidak ingin meretas situs web "", tetapi sebaliknya ingin meretas situs web "Anda" secara khusus), dan ini tentu saja adalah hal yang paling penting untuk dipahami.

Untuk seseorang yang benar-benar tidak tahu harus mulai dari mana (atau bahkan untuk orang berpengalaman yang memiliki tugas lain) langkah pertama adalah mungkin mempekerjakan seseorang dengan pengalaman baik dari langkah-langkah di atas. Keuntungan lain dari pendekatan itu adalah bahwa mereka akan melihat pengaturan Anda tanpa ada dugaan sebelumnya atau kepentingan pribadi dalam jawaban.

Rob Moir
sumber
1
+1 Sebenarnya saya akan menambahkan bahwa mencegah lebih baik daripada bertarung, itu berarti juga mencegah saja bahwa suatu hari akan terjadi. Jadi penting pada pandangan pertama, untuk memiliki strategi untuk menyederhanakan pemecahan masalah dan mengurangi dampaknya.
tmow
1

"Aku tahu kamu bisa mencari di file log server tetapi sebagai penyerang, hal pertama yang akan kulakukan adalah menghapus file log."

Bergantung pada jenis kompromi, penyerang mungkin tidak memiliki hak yang cukup tinggi pada server yang dikompromikan untuk dapat menghapus log. Ini juga merupakan praktik terbaik untuk membuat log server disimpan offbox di server lain, untuk mencegah gangguan (diekspor secara otomatis pada interval tertentu).

Di luar log Server yang disusupi, masih ada log jaringan (Firewall, Router, dll) serta log otentikasi dari layanan direktori, jika ada satu (Active Directory, RADIUS, dll.)

Jadi melihat log masih merupakan salah satu hal terbaik yang bisa dilakukan.

Saat berurusan dengan kotak yang dikompromikan, memilah-milah log selalu menjadi salah satu cara utama saya untuk menyatukan apa yang terjadi.

-Ya

Josh Brower
sumber
Saya melakukan beberapa analisis log yang sangat terbatas untuk kelas semester lalu. Bagaimana Anda menemukan lubang di file log besar? Apakah Anda melihat entri terakhir? Bagaimana Anda mengidentifikasi entri yang mencurigakan?
sixtyfootersdude
Bagaimana Anda mengidentifikasi entri yang mencurigakan? idealnya dengan menyimpan riwayat log untuk perbandingan dan / atau memeriksanya cukup sering untuk mengetahui seperti apa entri yang mencurigakan, sehingga Anda dapat menghilangkan barang sehari-hari normal dan melihat dengan cermat pada apa yang tersisa.
Rob Moir
1
Saya setuju dengan Moir. Sysadmin perlu mengetahui sistem dengan cukup baik sehingga ia tahu kapan suatu layanan berjalan yang seharusnya tidak. Beberapa entri log yang mencurigakan sangat mudah ditemukan karena mereka memiliki tanda tangan spesifik yang mereka tinggalkan, (misalnya pemindaian Nimda), sedangkan dengan entri log lainnya, hanya lebih banyak konteks yang akan menentukan apakah itu sah atau tidak.
Josh Brower