Как сделать вскрытие сервера взломать

29

У меня есть машина с Windows Server 2003 SP2 с установленными на ней IIS6, SQL Server 2005, MySQL 5 и PHP 4.3. Это не рабочая машина, но она выставлена ​​миру через доменное имя. На компьютере включен удаленный рабочий стол, на нем активны две учетные записи администратора.

Этим утром я обнаружил, что машина вышла из системы с неизвестным именем пользователя, которое все еще находится в текстовом поле для входа. После дальнейших исследований я обнаружил, что были созданы два пользователя Windows, антивирус был удален и небольшое количество файлов .exe было помещено на диск C :.

Я хотел бы знать, какие шаги я должен предпринять, чтобы это больше не повторилось, и области, на которых я должен сосредоточиться, чтобы определить путь въезда. Я уже проверил netstat -a, чтобы увидеть, какие порты открыты, и там нет ничего странного. Я нашел неизвестные файлы в папке данных для MySQL, которые, я думаю, могли быть точкой входа, но я не уверен.

Я бы очень признателен за шаги по проведению хорошего вскрытия взлома сервера, чтобы я мог избежать этого в будущем.

Обзор после расследования

После некоторого расследования я думаю, что узнал, что случилось. Сначала машина не была в сети в период с августа 2008 года по октябрь 2009 года. За это время была обнаружена уязвимость системы безопасности, уязвимость MS08-067 . «Это уязвимость, делающая возможным удаленное выполнение кода. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить полный контроль над уязвимой системой удаленно. В системах под управлением Microsoft Windows 2000, Windows XP и Windows Server 2003 злоумышленник может воспользоваться злоумышленником. эта уязвимость над RPC без аутентификации и может запускать произвольный код ". Эта уязвимость была исправлена ​​в обновлении безопасности KB958644, вышедшем в октябре 2008 года.

Поскольку в то время машина находилась в автономном режиме и пропустила это обновление, я считаю, что эта уязвимость была использована вскоре после того, как она вернулась в сеть в октябре 2009 года. Я обнаружил ссылки на программу bycnboy.exe, которая была описана как бэкдор-программа, которая затем создает большой ущерб в зараженной системе. Вскоре после того, как машина была в сети, автоматические обновления установили патч, закрывающий возможность удаленного управления системой. Поскольку бэкдор был теперь закрыт, я полагаю, что злоумышленник затем создал физические учетные записи на машине и смог использовать машину еще неделю, пока я не заметил, что происходит.

После агрессивного преследования вредоносного кода, файлов .exes и .dll, удаления самодостаточных веб-сайтов и учетных записей пользователей машина снова находится в рабочем состоянии. В ближайшее время я буду следить за системой и просматривать журналы сервера, чтобы определить, происходит ли повторение инцидента.

Спасибо за информацию и шаги, которые были предоставлены.

Крис
источник

Ответы:

28

Выполнение вскрытия - это черное искусство само по себе. Каждый раз он немного отличается, потому что на самом деле нет двух одинаковых взломов. Имея это в виду, основной обзор моего рекомендуемого процесса ниже, с несколькими конкретными примечаниями к вашей ситуации:

  1. Физически отключите машину от сети. (Действительно. Сделай это сейчас.)
  2. Необязательный шаг: создайте копию жесткого диска в двоичном образе для дальнейшего использования.
  3. Сделайте копию всех файлов журнала, ценных данных и т. Д. На съемный жесткий диск
    • При желании скопируйте любые найденные вами «инструменты хакера»
  4. Начните фактическое вскрытие. В твоем случае:
    • Обратите внимание на любые новые или отсутствующие учетные записи пользователей. Посмотрите, есть ли в их домашних папках "интересное" содержимое.
    • Обратите внимание на любые новые или отсутствующие программы / двоичные файлы / файлы данных.
    • Сначала проверьте журналы MySQL - поищите что-нибудь «необычное»
    • Проверьте остальные журналы сервера. Посмотрите, сможете ли вы найти новых создаваемых пользователей, адреса, с которых они вошли, и т. Д.
    • Ищите доказательства повреждения данных или кражи
  5. Когда вы найдете причину проблемы, обратите внимание, как предотвратить ее повторение.
  6. Очистите сервер: отформатируйте и переустановите все, восстановите ваши данные и закройте оригинальное отверстие своими заметками от # 5.

Обычно вы выполняете шаг 2, если собираетесь привлекать правоохранительных органов. Вы выполняете Шаг 3, чтобы вы могли просматривать информацию после того, как сервер будет перестроен, без необходимости читать копию изображения, сделанную на шаге 2.

Степень детализации шага 4 зависит от ваших целей: просто заткнуть дыру - это другой вид расследования, нежели выслеживание того, кто украл немного ценных данных :)

Шаг 6 ИМХО критичен. Вы не «исправляете» скомпрометированный хост: вы стираете его и начинаете с известного хорошего состояния. Это гарантирует, что вы не пропустите какой-нибудь самородок гадости, оставленный на коробке в качестве бомбы замедленного действия.

Это ни в коем случае не полная посмертная схема. Я отмечаю это как вики сообщества, так как я всегда ищу улучшения в процессе - я не использую это часто :-)

voretaq7
источник
3
У меня нет опыта делать что-то подобное, но совет Security Monkey, если вы собираетесь создать изображение машины для исследования, это выдернуть шнур питания, изобразить жесткий диск и начать расследование. (Обезьяна безопасности: it.toolbox.com/blogs/securitymonkey )
MattB
1
Безопасность Обезьяна мертва - Вы хотите заморозить машину в холодном состоянии (дерните шнур питания), когда вы идете на изображение. завершение работы и / или запуск могут отключить самоуничтожение или очистить код, а смещение питания предотвращает это до того, как вы сможете создать свой образ.
voretaq7
2
Кроме того - я бы сказал, что вы не должны доверять результатам «встроенных» команд на взломанной системе, таких как netstat (или dir и т. Д.). Опять же, у меня нет прямого опыта с этим на уровне предприятия, но я помню, как меня взламывали на персональных машинах, где часть взлома должна была заменить встроенные инструменты, чтобы замаскировать то, что действительно происходило.
MattB
4
+1 шаг 6 очень важен, вы не знаете, показывает ли netstat правду, не анализируя реальный сетевой трафик - и это само по себе может быть довольно сложным и проверкой на терпение ... так что сотрите его. Это больше не твоя коробка. Проанализируйте изображение сколько хотите, но сотрите эту чертову машину;)
Оскар Дювеборн
1
Я бы сказал, что вам, вероятно, лучше делать шаг № 2 каждый раз, так как вы не совсем уверены, что найдете в ходе расследования. Наличие двоичных изображений также означает, что разные люди могут смотреть на разные вещи, используя каждый экземпляр.
Ватин