Apa langkah utama melakukan analisis forensik kotak linux setelah diretas?
15
Apa langkah utama melakukan analisis forensik kotak linux setelah diretas?
Katakanlah itu adalah server linux surat generik / web / database / ftp / ssh / samba. Dan itu mulai mengirim spam, memindai sistem lain .. Bagaimana memulai mencari cara hack dilakukan dan siapa yang bertanggung jawab?
Berikut adalah beberapa hal untuk dicoba sebelum me-reboot:
Pertama-tama, jika Anda berpikir Anda mungkin dicabut cabut kabel jaringan Anda sehingga mesin tidak dapat melakukan kerusakan lebih lanjut.
Kemudian, jika mungkin menahan diri dari reboot , karena banyak jejak penyusup dapat dihapus dengan boot ulang.
Jika Anda berpikir ke depan, dan memiliki logging jarak jauh di tempat, gunakan log jarak jauh Anda, bukan yang di mesin, karena itu terlalu mudah bagi seseorang untuk mengutak-atik log di mesin. Tetapi jika Anda tidak memiliki log jarak jauh, periksa yang lokal secara menyeluruh.
Periksa dmesg , karena ini akan diganti saat reboot juga.
Di linux dimungkinkan untuk menjalankan program - bahkan setelah file yang berjalan telah dihapus. Periksa ini dengan file perintah / proc / [0-9] * / exe | grep "(dihapus)" . (ini menghilang saat reboot, tentu saja). Jika Anda ingin menyimpan salinan program yang sedang berjalan ke disk, gunakan / bin / dd if = / proc / filename / exe of = filename
Jika Anda telah mengetahui salinan bagus siapa / ps / ls / netstat, gunakan alat-alat ini untuk memeriksa apa yang terjadi pada kotak. Perhatikan bahwa jika rootkit telah diinstal, utilitas ini biasanya diganti dengan salinan yang tidak akan memberikan informasi yang akurat.
Masalahnya adalah bagaimana mencari tahu apakah salinan ps / ls / ... Anda baik. Anda dapat memeriksa md5sum mereka, tetapi sekali lagi, md5sum mungkin telah diganti juga.
amarillion
2
Saya menyimpan salinan kedua dari file-file penting (dan md5sum), bersama dengan md5sums dari aslinya di semua sistem kami. Lalu aku punya nagios secara manual memeriksa md5sums mereka untuk pertandingan setiap jam.
Brent
8
Itu benar-benar tergantung pada apa yang diretas, tetapi secara umum,
Periksa cap waktu file yang dimodifikasi secara tidak tepat, dan rujuk silang waktu tersebut dengan ssh yang berhasil (di / var / log / auth *) dan ftp (di / var / log / vsftp * jika Anda menggunakan vsftp sebagai server) untuk cari tahu akun mana yang dikompromikan dan dari IP mana serangan itu berasal.
Anda mungkin dapat mencari tahu apakah akun dipaksa-paksa jika ada banyak upaya login yang gagal pada akun yang sama. Jika tidak ada atau hanya beberapa upaya login yang gagal untuk akun itu, maka mungkin kata sandinya ditemukan dalam beberapa cara lain dan pemilik akun tersebut memerlukan ceramah tentang keamanan kata sandi.
Jika IP berasal dari suatu tempat di dekatnya, itu bisa menjadi "pekerjaan orang dalam"
Jika akun root dikompromikan, tentu saja Anda dalam masalah besar, dan saya akan, jika mungkin, memformat ulang dan membangun kembali kotak dari bawah ke atas. Tentu saja Anda harus mengubah semua kata sandi.
Anda harus memeriksa semua log aplikasi yang sedang berjalan. Misalnya, log Apache dapat memberi tahu Anda bagaimana seorang peretas dapat mengeksekusi perintah sewenang-wenang pada sistem Anda.
Periksa juga apakah Anda telah menjalankan proses yang memindai server atau mengirim spam. Jika demikian, pengguna Unix tempat mereka menjalankan dapat memberi tahu Anda bagaimana kotak Anda diretas. Jika itu adalah www-data maka Anda tahu itu adalah Apache, dll.
Sadarilah bahwa kadang-kadang beberapa program seperti psdiganti ...
Anda harus mematikan, menghubungkan hard disk ke antarmuka hanya baca (itu adalah IDE atau SATA khusus, atau USB, dll ... antarmuka yang tidak memungkinkan penulisan, seperti ini: http: //www.forensic- Computers.com/handBridges.php ) dan lakukan dupe yang tepat dengan DD.
Anda dapat melakukannya ke hard drive lain, atau Anda dapat melakukannya ke gambar disk.
Kemudian, simpan di tempat yang lebih aman dan aman dari hard disk, adalah bukti asli tanpa gangguan!
Kemudian, Anda bisa pasang disk yang dikloning, atau gambar di komputer forensik Anda. Jika ini adalah disk, Anda harus mencolokkannya melalui antarmuka hanya baca, dan jika Anda akan bekerja dengan gambar, pasang itu 'hanya baca'.
Kemudian Anda dapat mengerjakannya, lagi dan lagi tanpa mengubah data apa pun ...
FYI, ada gambar sistem "diretas" di internet untuk latihan, sehingga Anda dapat melakukan forensik "di rumah" ...
PS: Bagaimana dengan sistem yang diretas yang dijatuhkan? jika saya pikir sistem itu terganggu, saya tidak akan membiarkannya tetap terhubung, saya akan meletakkan hard disk baru di sana, dan mengembalikan cadangan atau membuat server baru dalam produksi sampai forensik selesai ...
Anda harus bertanya pada diri sendiri terlebih dahulu: "Mengapa?"
Berikut adalah beberapa alasan yang masuk akal bagi saya:
Nilai kerusakannya
Cari tahu bagaimana mereka masuk
Tentukan apakah itu adalah pekerjaan orang dalam
Melampaui hal itu sering kali tidak masuk akal. Polisi sering tidak peduli, dan jika mereka melakukannya, mereka akan menyita perangkat keras Anda dan melakukan analisis forensik mereka sendiri.
Tergantung pada apa yang Anda temukan, Anda mungkin dapat membuat hidup Anda lebih mudah. Jika relai SMTP dikompromikan, dan Anda menentukan bahwa itu disebabkan oleh patch yang hilang yang dieksploitasi oleh pihak luar, Anda selesai. Pasang kembali kotak, tambal apa pun yang perlu ditambal dan lanjutkan.
Seringkali ketika kata "forensik" muncul, orang memiliki visi CSI dan berpikir tentang mencari tahu segala macam detail yang menyiksa tentang apa yang terjadi. Bisa jadi itu, tetapi jangan membuatnya menjadi tumpangan besar jika Anda tidak harus melakukannya.
Saya sangat merekomendasikan membaca " Dead Linux Machines Do Tell Tales ", sebuah artikel oleh The SANS Institute. Itu dari tahun 2003, tetapi informasinya masih berharga sampai sekarang.
Itu benar-benar tergantung pada apa yang diretas, tetapi secara umum,
Periksa cap waktu file yang dimodifikasi secara tidak tepat, dan rujuk silang waktu tersebut dengan ssh yang berhasil (di / var / log / auth *) dan ftp (di / var / log / vsftp * jika Anda menggunakan vsftp sebagai server) untuk cari tahu akun mana yang dikompromikan dan dari IP mana serangan itu berasal.
Anda mungkin dapat mencari tahu apakah akun dipaksa-paksa jika ada banyak upaya login yang gagal pada akun yang sama. Jika tidak ada atau hanya beberapa upaya login yang gagal untuk akun itu, maka mungkin kata sandinya ditemukan dalam beberapa cara lain dan pemilik akun tersebut memerlukan ceramah tentang keamanan kata sandi.
Jika IP berasal dari suatu tempat di dekatnya, itu bisa menjadi "pekerjaan orang dalam"
Jika akun root dikompromikan, tentu saja Anda dalam masalah besar, dan saya akan, jika mungkin, memformat ulang dan membangun kembali kotak dari bawah ke atas. Tentu saja Anda harus mengubah semua kata sandi.
sumber
Anda harus memeriksa semua log aplikasi yang sedang berjalan. Misalnya, log Apache dapat memberi tahu Anda bagaimana seorang peretas dapat mengeksekusi perintah sewenang-wenang pada sistem Anda.
Periksa juga apakah Anda telah menjalankan proses yang memindai server atau mengirim spam. Jika demikian, pengguna Unix tempat mereka menjalankan dapat memberi tahu Anda bagaimana kotak Anda diretas. Jika itu adalah www-data maka Anda tahu itu adalah Apache, dll.
Sadarilah bahwa kadang-kadang beberapa program seperti
psdiganti ...sumber
Naaah!
Anda harus mematikan, menghubungkan hard disk ke antarmuka hanya baca (itu adalah IDE atau SATA khusus, atau USB, dll ... antarmuka yang tidak memungkinkan penulisan, seperti ini: http: //www.forensic- Computers.com/handBridges.php ) dan lakukan dupe yang tepat dengan DD.
Anda dapat melakukannya ke hard drive lain, atau Anda dapat melakukannya ke gambar disk.
Kemudian, simpan di tempat yang lebih aman dan aman dari hard disk, adalah bukti asli tanpa gangguan!
Kemudian, Anda bisa pasang disk yang dikloning, atau gambar di komputer forensik Anda. Jika ini adalah disk, Anda harus mencolokkannya melalui antarmuka hanya baca, dan jika Anda akan bekerja dengan gambar, pasang itu 'hanya baca'.
Kemudian Anda dapat mengerjakannya, lagi dan lagi tanpa mengubah data apa pun ...
FYI, ada gambar sistem "diretas" di internet untuk latihan, sehingga Anda dapat melakukan forensik "di rumah" ...
PS: Bagaimana dengan sistem yang diretas yang dijatuhkan? jika saya pikir sistem itu terganggu, saya tidak akan membiarkannya tetap terhubung, saya akan meletakkan hard disk baru di sana, dan mengembalikan cadangan atau membuat server baru dalam produksi sampai forensik selesai ...
sumber
Ambil memori dump dan menganalisanya dengan alat forensik memori, seperti Second Look .
sumber
Anda harus bertanya pada diri sendiri terlebih dahulu: "Mengapa?"
Berikut adalah beberapa alasan yang masuk akal bagi saya:
Melampaui hal itu sering kali tidak masuk akal. Polisi sering tidak peduli, dan jika mereka melakukannya, mereka akan menyita perangkat keras Anda dan melakukan analisis forensik mereka sendiri.
Tergantung pada apa yang Anda temukan, Anda mungkin dapat membuat hidup Anda lebih mudah. Jika relai SMTP dikompromikan, dan Anda menentukan bahwa itu disebabkan oleh patch yang hilang yang dieksploitasi oleh pihak luar, Anda selesai. Pasang kembali kotak, tambal apa pun yang perlu ditambal dan lanjutkan.
Seringkali ketika kata "forensik" muncul, orang memiliki visi CSI dan berpikir tentang mencari tahu segala macam detail yang menyiksa tentang apa yang terjadi. Bisa jadi itu, tetapi jangan membuatnya menjadi tumpangan besar jika Anda tidak harus melakukannya.
sumber
Saya belum membaca tanggapan lain, tetapi saya akan membuat gambar hantu untuk melestarikan bukti dan hanya memeriksa gambar .... mungkin ...
sumber
Saya sangat merekomendasikan membaca " Dead Linux Machines Do Tell Tales ", sebuah artikel oleh The SANS Institute. Itu dari tahun 2003, tetapi informasinya masih berharga sampai sekarang.
sumber