Это канонический вопрос о безопасности сервера - реагирование на события взлома (взлом)
См. Также:
Каноническая версия
Я подозреваю, что один или несколько моих серверов взломаны хакером, вирусом или другим механизмом:
- Каковы мои первые шаги? Когда я приеду на сайт, я должен отключить сервер, сохранить «доказательства», есть ли другие начальные соображения?
- Как я могу получить услуги обратно онлайн?
- Как я могу предотвратить то же самое снова и снова?
- Существуют ли передовые практики или методологии для изучения этого инцидента?
- Если бы я хотел составить план реагирования на инциденты, с чего бы мне начать? Должно ли это быть частью моего аварийного восстановления или планирования непрерывности бизнеса?
Оригинальная версия
2011.01.02 - Я иду на работу в воскресенье в 21:30, потому что наш сервер каким-то образом был взломан и привел к атаке DOS на нашего провайдера. Доступ серверов к Интернету был закрыт, что означает, что более 5-600 сайтов наших клиентов не работают. Теперь это может быть взлом FTP или какая-то слабость в коде. Я не уверен, пока не доберусь туда.
Как я могу отследить это быстро? У нас много судебных разбирательств, если я не смогу восстановить сервер как можно скорее. Любая помощь приветствуется. Мы работаем с Open SUSE 11.0.
2011.01.03 - Спасибо всем за помощь. К счастью, я не был единственным человеком, ответственным за этот сервер, только ближайший. Нам удалось решить эту проблему, хотя она может не относиться ко многим другим в другой ситуации. Я подробно опишу, что мы сделали.
Мы отключили сервер от сети. Он выполнял (пытался выполнить) атаку «отказ в обслуживании» на другом сервере в Индонезии, и виновная сторона также находилась там.
Сначала мы попытались определить, откуда на сервере это происходит, учитывая, что у нас на сервере более 500 сайтов, и мы ожидаем, что в течение некоторого времени будем подрабатывать. Однако, по-прежнему имея SSH-доступ, мы запустили команду, чтобы найти все файлы, отредактированные или созданные за время начала атак. К счастью, этот файл был создан во время зимних каникул, что означало, что в то время на сервере было создано не так много других файлов.
Затем мы смогли идентифицировать файл, который был нарушен, который находился в папке загруженных изображений на веб-сайте ZenCart .
После короткого перерыва на сигареты мы пришли к выводу, что из-за расположения файлов он должен был быть загружен через средство загрузки файлов, которое было ненадежно защищено. После некоторого поиска в Google мы обнаружили, что существует уязвимость безопасности, которая позволяет загружать файлы в админ-панели ZenCart для изображения для звукозаписывающей компании. (Раздел, который он даже никогда не использовал), разместив эту форму, просто загрузил любой файл, он не проверял расширение файла и даже не проверял, вошел ли пользователь в систему.
Это означало, что любые файлы могут быть загружены, включая файл PHP для атаки. Мы устранили уязвимость с помощью ZenCart на зараженном сайте и удалили поврежденные файлы.
Работа была выполнена, и я был дома в 2 часа ночи
Мораль - всегда устанавливайте исправления безопасности для ZenCart или любой другой системы CMS. Как и в случае выпуска обновлений для системы безопасности, весь мир узнает об этой уязвимости. - Всегда делайте резервные копии и делайте резервные копии. - Нанять или организовать кого-то, кто будет там в такие времена. Чтобы никто не полагался на паническое сообщение о сбое сервера.
Ответы:
Трудно дать конкретный совет из того, что вы опубликовали здесь, но у меня есть несколько общих советов, основанных на посте, который я написал много лет назад, когда я все еще мог быть обеспокоен блогом.
Не паникуйте
Перво-наперво, нет никаких «быстрых исправлений», кроме восстановления вашей системы из резервной копии, сделанной до вторжения, и это имеет как минимум две проблемы.
Этот вопрос постоянно задают жертвы хакеров, взломавших свой веб-сервер. Ответы очень редко меняются, но люди продолжают задавать вопрос. Я не уверен почему. Возможно, людям просто не нравятся ответы, которые они видели при поиске помощи, или они не могут найти того, кому доверяют, чтобы дать им совет. Или, возможно, люди читают ответ на этот вопрос и слишком много внимания уделяют 5% того, почему их дело особенное и отличается от ответов, которые они могут найти в Интернете, и пропускают 95% вопроса и отвечают, когда их дело достаточно близко как тот, который они читают в Интернете.
Это подводит меня к первому важному фрагменту информации. Я действительно ценю, что ты особенная уникальная снежинка. Я ценю, что ваш веб-сайт также является отражением вас и вашего бизнеса или, по крайней мере, вашей тяжелой работы от имени работодателя. Но кому-то со стороны, который занимается поиском, независимо от того, пытается ли специалист по компьютерной безопасности попытаться помочь вам или даже сам злоумышленник, очень вероятно, что ваша проблема будет, по крайней мере, на 95% идентична каждому другому случаю когда-либо смотрел на.
Не принимайте атаку лично, и не принимайте рекомендации, которые следуют здесь или которые вы получаете от других людей лично. Если вы читаете это после того, как просто стали жертвой взлома сайта, то мне очень жаль, и я очень надеюсь, что вы найдете здесь что-то полезное, но сейчас не время, чтобы ваше эго могло помешать тому, что вам нужно делать.
Вы только что узнали, что ваш сервер (ы) был взломан. Что теперь?
Без паники. Абсолютно не действуй в спешке, и абсолютно не пытайся притворяться, что ничего не произошло, и вообще не действовать.
Первое: понять, что катастрофа уже произошла. Это не время для отказа; настало время принять то, что произошло, быть реалистичным и предпринять шаги, чтобы справиться с последствиями воздействия.
Некоторые из этих шагов повредят, и (если ваш сайт не содержит копию моих данных), мне действительно все равно, если вы проигнорируете все или некоторые из этих шагов, это ваше дело. Но, следуя им должным образом, в конце концов все станет лучше. Лекарство может быть ужасным на вкус, но иногда вы должны игнорировать это, если вы действительно хотите, чтобы лекарство сработало.
Остановите проблему, чтобы она стала хуже, чем она есть:
Как бы ни раздражали ваши клиенты то, что вы рассказали им о проблеме, они будут гораздо более раздражены, если вы им не расскажете, и они узнают о себе только после того, как кто-то зарядит товары на сумму $ 8 000, используя данные кредитной карты, которую они украл с вашего сайта.
Помните, что я сказал ранее? Плохая вещь уже произошла. Единственный вопрос сейчас заключается в том, насколько хорошо вы справляетесь с этим.
Понять проблему полностью:
Почему бы просто не «починить» обнаруженный вами эксплойт или руткит и снова включить систему?
В подобных ситуациях проблема в том, что вы больше не можете контролировать эту систему. Это больше не твой компьютер.
Единственный способ быть уверены , что у вас есть контроль системы , чтобы восстановить систему. Хотя поиск и исправление эксплойта, использованного для взлома системы, имеет большую ценность, вы не можете быть уверены в том, что еще было сделано с системой после того, как злоумышленники получили контроль (действительно, для хакеров, которые вербуют, это неслыханно). системы в ботнет для исправления эксплойтов, которые они использовали сами, для защиты «своего» нового компьютера от других хакеров, а также установки их руткитов).
Составьте план восстановления и верните свой веб-сайт в режим онлайн и придерживайтесь его:
Никто не хочет быть в автономном режиме дольше, чем они должны быть. Это дано. Если этот сайт является механизмом, приносящим доход, то давление, чтобы быстро вернуть его в оперативный режим, будет интенсивным. Даже если на карту поставлена только репутация вашей / вашей компании, это все равно будет создавать большое давление для быстрого восстановления.
Однако не поддавайтесь искушению слишком быстро вернуться в онлайн. Вместо этого двигайтесь как можно быстрее, чтобы понять, что вызвало проблему, и решить ее, прежде чем вернуться в Интернет, иначе вы почти наверняка станете жертвой вторжения еще раз и помните: «один раз взломать можно классифицировать как несчастье; снова взломанный сразу после этого выглядит как небрежность "(с извинениями перед Оскаром Уайльдом).
Снижение риска в будущем.
Первое, что вам нужно понять, это то, что безопасность - это процесс, который вы должны применять на протяжении всего жизненного цикла проектирования, развертывания и обслуживания системы с выходом в Интернет, а не то, что вы можете потом пролить несколькими слоями на свой код, как дешево. покрасить. Чтобы быть должным образом защищенным, сервис и приложение должны быть спроектированы с самого начала, учитывая это как одну из основных целей проекта. Я понимаю, что это скучно, и вы уже слышали все это раньше, и я "просто не понимаю, что такое давление", когда ваш бета-сервис web2.0 (бета-версия) переводится в бета-статус в Интернете, но факт в том, что повторение, потому что это было правдой с первого раза, когда это было сказано, и это еще не стало ложью.
Вы не можете устранить риск. Вы не должны даже пытаться сделать это. Однако вы должны понять, какие риски безопасности важны для вас, и понять, как управлять и уменьшить как влияние риска, так и вероятность того, что риск произойдет.
Какие шаги вы можете предпринять, чтобы уменьшить вероятность успеха атаки?
Например:
Какие шаги вы можете предпринять, чтобы уменьшить последствия успешной атаки?
Если вы решите, что «риск» затопления нижнего этажа дома высок, но недостаточно высок, чтобы оправдать переезд, вам следует хотя бы переместить незаменимые семейные реликвии наверх. Правильно?
... И наконец
Я, вероятно, не упустил ни одного конца материала, который другие считают важным, но вышеприведенные шаги должны, по крайней мере, помочь вам начать разбираться, если вам не повезло стать жертвой хакеров.
Прежде всего: не паникуйте. Думай прежде чем сделать. Действуйте твердо, как только вы приняли решение, и оставьте комментарий ниже, если у вас есть что добавить в мой список шагов.
источник
Звучит так, словно над головой; это нормально. Позвоните своему начальнику и начните переговоры о бюджете реагирования на чрезвычайные ситуации. $ 10000 может быть хорошим местом для начала. Затем вам нужно найти кого-то (PFY, коллегу, менеджера), чтобы начать звонить в компании, специализирующиеся на реагировании на инциденты в сфере безопасности. Многие могут ответить в течение 24 часов, а иногда даже быстрее, если у них есть офис в вашем городе.
Вам также нужен кто-то, чтобы сортировать клиентов; Несомненно, кто-то уже есть. Кто-то должен поговорить с ними по телефону, чтобы объяснить, что происходит, что делается, чтобы справиться с ситуацией, и ответить на их вопросы.
Тогда вам нужно ...
Успокойся. Если вы отвечаете за реагирование на инциденты, то, что вы делаете сейчас, должно продемонстрировать максимальный профессионализм и лидерство. Документируйте все, что вы делаете, и держите вашего менеджера и исполнительную команду в курсе основных ваших действий; это включает в себя работу с группой реагирования, отключение серверов, резервное копирование данных и повторное подключение к сети. Им не нужны кровавые подробности, но они должны слышать вас каждые 30 минут или около того.
Быть реалистичным. Вы не специалист по безопасности, и есть вещи, которые вы не знаете. Это нормально. При входе на серверы и просмотре данных вы должны понимать свои ограничения. Поступайте осторожно. В ходе расследования убедитесь, что вы не топаете жизненно важной информацией и не меняете что-то, что может понадобиться позже. Если вы чувствуете себя некомфортно или догадаетесь, это хорошее место, чтобы остановиться и пригласить опытного профессионала.
Получить чистую флешку и запасные жесткие диски. Вы будете собирать доказательства здесь. Сделайте резервные копии всего, что вы считаете нужным; общение с вашим интернет-провайдером, сетевые дампы и т. д. Даже если правоохранительные органы не вмешиваются, в случае судебного иска вы захотите, чтобы эти доказательства доказали, что ваша компания обработала инцидент безопасности профессиональным и надлежащим образом.
Самое главное, чтобы остановить потери. Определите и заблокируйте доступ к скомпрометированным сервисам, данным и машинам. Желательно вытащить на них сетевой кабель; если ты не можешь, тогда тяни власть.
Далее вам нужно удалить атакующего и закрыть дырку (и). Предположительно, у злоумышленника больше нет интерактивного доступа, потому что вы вытянули сеть. Теперь вам нужно идентифицировать, задокументировать (с помощью резервных копий, снимков экрана и ваших личных заметок о наблюдениях; или, желательно, даже удалив диски с уязвимых серверов и сделать полную копию образа диска), а затем удалить любой код и процессы, которые он оставил позади. , Следующая часть будет плохой, если у вас нет резервных копий; Вы можете попытаться вытащить злоумышленника из системы вручную, но вы никогда не будете уверены, что получили все, что он оставил позади. Руткиты порочны, и не все обнаружимы. Наилучшим ответом будет выявление уязвимости, которую он использовал для проникновения в систему, создания копий образа поврежденных дисков, а затем стирания уязвимых систем и перезагрузки из заведомо исправной резервной копии. Дон» t слепо доверяй своей резервной копии; проверьте это! Устраните или закройте уязвимость, прежде чем новый хост снова войдет в сеть, а затем переведите ее в оперативный режим.
Организовать все ваши данные в отчет. На этом этапе уязвимость закрыта, и у вас есть время, чтобы перевести дыхание. Не поддавайтесь искушению пропустить этот шаг; это даже более важно, чем остальная часть процесса. В отчете вам необходимо определить, что пошло не так, как отреагировала ваша команда, и какие шаги вы предпринимаете, чтобы предотвратить повторение этого инцидента. Будьте максимально подробны; это не только для вас, но и для вашего руководства и в качестве защиты в потенциальном судебном процессе.
Это огромный обзор того, что делать; большая часть работы - это просто документирование и обработка резервной копии Не паникуйте, вы можете сделать это. Я настоятельно рекомендую вам получить профессиональную помощь по безопасности. Даже если вы справитесь с происходящим, их помощь будет неоценимой, и они обычно поставляются с оборудованием, чтобы сделать процесс проще и быстрее. Если ваш босс отказывается от такой цены, напомните ему, что она очень мала по сравнению с судебным процессом.
У вас есть мои утешения для вашей ситуации. Удачи.
источник
У CERT есть документ Шаги для восстановления из компромисса системы UNIX или NT , и это хорошо. Конкретные технические детали этого документа несколько устарели, но многие общие рекомендации по-прежнему имеют прямое отношение.
Краткое описание основных шагов:
Я хотел бы особо указать вам на раздел E.1.
Если у вас еще нет системы, такой как tripwire, у вас нет возможности быть на 100% уверенным, что вы очистили систему.
источник
источник
Ответ Роберта «горькая пилюля» точен, но совершенно универсален (ну, как и был ваш вопрос). Похоже, у вас проблемы с управлением и острая необходимость в системном администраторе, работающем полный рабочий день, если у вас есть один сервер и 600 клиентов, но это вам сейчас не поможет.
Я управляю хостинговой компанией, которая немного сдерживается в этой ситуации, поэтому я имею дело с большим количеством скомпрометированных машин, но также использую лучшие практики для себя. Мы всегда говорим нашим скомпрометированным клиентам перестраивать, если они не совсем уверены в природе компромисса. Нет другого ответственного маршрута в долгосрочной перспективе.
Тем не менее, вы почти наверняка являетесь жертвой сценариста, который хотел иметь стартовую площадку для DoS-атак или IRC-атак, или что-то совершенно не связанное с сайтами и данными ваших клиентов. Поэтому в качестве временной меры при перестройке вы можете рассмотреть возможность установки тяжелого исходящего брандмауэра на вашем компьютере. Если вы можете заблокировать все исходящие соединения UDP и TCP, которые не являются абсолютно необходимыми для функционирования ваших сайтов, вы можете легко сделать ваш скомпрометированный ящик бесполезным для тех, кто одалживает его у вас, и уменьшить влияние на сеть вашего провайдера до нуля.
Этот процесс может занять несколько часов, если вы еще этого не сделали и никогда не рассматривали брандмауэр, но он может помочь вам восстановить службу ваших клиентов, рискуя по-прежнему предоставлять злоумышленнику доступ к данным ваших клиентов . Поскольку вы говорите, что у вас есть сотни клиентов на одном компьютере, я предполагаю, что вы размещаете небольшие веб-сайты для небольших предприятий, а не 600 систем электронной коммерции с номерами кредитных карт. Если это так, это может быть приемлемым риском для вас, и вернуть вашу систему в оперативное состояние быстрее, чем проводить аудит 600 сайтов на наличие ошибок безопасности, прежде чем что-то вернуть. Но вы будете знать, какие данные есть, и насколько комфортно вы будете принимать это решение.
Это абсолютно не лучшая практика, но если это не то, что происходило с вашим работодателем до сих пор, вы можете помахать им пальцем и попросить десятки тысяч фунтов за команду спецназа за то, что они могут почувствовать, - ваша ошибка (как бы неоправданно! ) не похоже на практический вариант.
Помощь вашего интернет-провайдера будет очень важной - некоторые интернет-провайдеры предоставляют консольный сервер и среду загрузки по сети (подключите, но, по крайней мере, вы знаете, какие средства искать), что позволит вам администрировать сервер, когда он отключен от сети. Если это вообще вариант, попросите его и используйте его.
Но в долгосрочной перспективе вы должны планировать перестройку системы на основе поста Роберта и аудита каждого сайта и его настройки. Если вы не можете добавить сисадмина в свою команду, найдите соглашение об управляемом хостинге, где вы платите своему провайдеру за помощь в сисадмине и 24-часовой ответ на подобные вещи. Удачи :)
источник
Вам необходимо переустановить. Сохраните то, что вам действительно нужно. Но имейте в виду, что все ваши исполняемые файлы могут быть заражены и подделаны. Я написал в Python следующее: http://frw.se/monty.py, который создает MD5-суммы всех ваших файлов в заданном каталоге, и при следующем запуске он проверяет, было ли что-либо изменено, и затем выводит изменились файлы и что изменилось в файлах.
Это может быть удобно для вас, чтобы увидеть, регулярно ли меняются странные файлы.
Но единственное, что вы должны сделать сейчас, это отключить компьютер от Интернета.
источник
ПРИМЕЧАНИЕ. Это не рекомендация. Мой конкретный протокол реагирования на инциденты ,
вероятно, не относится к делу Гранта Анвина без изменений.В наших учебных заведениях работают около 300 исследователей, которые занимаются только вычислениями. У вас есть 600 клиентов с веб-сайтами, поэтому ваш протокол, вероятно, будет другим.
Первые шаги в нашем случае, когда сервер получает взломанный протокол :
dd
Начните делать посмертную экспертизу. Посмотрите логи, выясните время атаки, найдите файлы, которые были изменены за это время. Попробуйте ответить на Хау? вопрос.
Даже если «все бэкдоры и руткиты очищены», не доверяйте этой системе - переустановите ее с нуля.
источник
rsync
/ proc прямо перед этим). Мы также можем вводить частые снимки виртуальных машин, чтобы была возможна экспертиза оперативной памяти. Причины для кабеля питания: (1) Когда вы проводите судебную экспертизу в взломанной системе, вы «переступаете через все место преступления»; (2) Корневой комплект продолжает работать - злоумышленнику не так сложно выполнить что-либо (например, очистку системы) в случае события Network Link Down . Кайл Ранкин в своем прекрасном выступлении «Введение в судебную экспертизу» ( goo.gl/g21Ok ) рекомендовал тянуть кабель питания.По моему ограниченному опыту, системные компромиссы в Linux имеют тенденцию быть более «комплексными», чем в Windows. Скорее всего, в корневые комплекты входит замена системных двоичных файлов настраиваемым кодом, чтобы скрыть вредоносное ПО, а барьер для горячей установки ядра немного ниже. Кроме того, это домашняя ОС для многих авторов вредоносных программ. Общее руководство всегда состоит в том, чтобы восстановить поврежденный сервер с нуля, и это общее руководство по определенной причине.
Отформатируйте этого щенка.
Но, если вы не можете перестроить (или те силы, которые не позволят вам перестроить его вопреки вашей настойчивой настойчивости в том, что это нужно), что вы ищете?
Поскольку, похоже, прошло много времени с тех пор, как было обнаружено вторжение, и было выполнено восстановление системы, очень вероятно, что следы того, как они проникли, были растоптаны в давке для восстановления обслуживания. Несчастная.
Необычный сетевой трафик, вероятно, легче всего найти, поскольку он не требует запуска чего-либо на устройстве и может быть выполнен, когда сервер работает и делает что угодно. Предполагая, конечно, ваше сетевое оборудование позволяет охватить порт. То, что вы найдете, может быть или не быть диагностическим, но, по крайней мере, это информация. Получение необычного трафика будет убедительным доказательством того, что система все еще взломана и нуждается в выравнивании. Это может быть достаточно, чтобы убедить TPTB, что переформатирование действительно, действительно, стоит простоев.
В противном случае возьмите dd-копию системных разделов и смонтируйте их в другой ящик. Начните сравнивать содержимое с сервером того же уровня исправлений, что и скомпрометированный. Он должен помочь вам определить, что выглядит по-другому (эти md5sums снова) и может указывать на пропущенные области на скомпрометированном сервере. Это много просеивания каталогов и двоичных файлов, и оно будет довольно трудоемким. Это может быть даже более трудоемким, чем было бы переформатирование / перестроение, и может быть еще одна вещь, чтобы подтолкнуть TPTB к реальному выполнению переформатирования, в котором оно действительно нуждается.
источник
Я бы сказал, что @Robert Moir, @Aleksandr Levchuk, @blueben и @Matthew Bloch - все в своих ответах.
Тем не менее, ответы на разные постеры разные - некоторые из них более высокого уровня и говорят о том, какие процедуры вы должны использовать (в целом).
Я бы предпочел разделить это на несколько отдельных частей. 1) Triage, AKA. Как обращаться с клиентами и юридические последствия, и определить, куда идти дальше (очень хорошо перечислено Робертом и @blueben 2) Смягчение воздействия 3 ) Реагирование на инциденты 4) Судебная экспертиза 5) Элементы исправления и изменения архитектуры
(Вставьте шаблонный ответный сертификат SANS GSC здесь) Исходя из прошлого опыта, я бы сказал следующее:
Независимо от того, как вы обрабатываете ответы клиентов, уведомления, юридические и будущие планы, я бы предпочел сосредоточиться на основной проблеме под рукой. Оригинальный вопрос OP действительно касается только № 2 и № 3, в основном, как остановить атаку, вернуть клиентов онлайн как можно скорее в их первоначальном состоянии, что было хорошо отражено в ответах.
Остальные ответы великолепны и охватывают множество выявленных лучших практик и способов, как предотвратить их появление в будущем, так и лучше реагировать на них.
Это действительно зависит от бюджета ОП и от того, в какой отрасли они находятся, какое у них решение и т.д.
Может быть, им нужно нанять специализированного СА на месте. Может быть, им нужен охранник. Или, может быть, им нужно полностью управляемое решение, такое как Firehost или Rackspace Managed, Softlayer, ServePath и т. Д.
Это действительно зависит от того, что работает для их бизнеса. Возможно, их основная компетенция не в управлении сервером, и им не имеет смысла пытаться развивать это. Или, может быть, они уже довольно техническая организация и могут принять правильные решения о найме и привлечь целую команду на полный рабочий день.
источник
После того, как мы приступили к работе и взглянули на сервер, нам удалось выяснить проблему. К счастью, поврежденные файлы были загружены в систему в воскресенье, когда офис закрыт, и файлы не должны создаваться, кроме журналов и файлов кэша. С помощью простой команды оболочки, чтобы узнать, какие файлы были созданы в тот день, мы нашли их.
Кажется, что все испорченные файлы были в папке / images / на некоторых наших старых сайтах zencart. Кажется, была уязвимость безопасности, которая позволяла (используя curl) любому идиоту загружать не изображения в раздел загрузки изображений в разделе администратора. Мы удалили поврежденные файлы .php и исправили сценарии загрузки, чтобы запретить загрузку файлов, которые не являются изображениями.
Оглядываясь назад, это было довольно просто, и я поднял этот вопрос на своем iPhone по дороге на работу. Спасибо за вашу помощь, ребята.
Для справки любого, кто посетит этот пост в будущем. Я не рекомендовал бы тянуть штепсельную вилку.
источник
Я мало что могу сделать для подробных технических ответов, но, пожалуйста, обратите внимание на некоторые из них:
Нетехнические действия:
Сообщите об инциденте изнутри.
Если у вас еще нет плана реагирования на инциденты, который может показаться техникой CYA, но ИТ-отдел не является единственным и зачастую даже не лучшим местом для определения влияния взломанного сервера на бизнес .
Бизнес-требования могут превзойти ваши технические проблемы. Не говорите «я вам так сказал», и что приоритетность бизнес-задач - это причина, по которой вы имеете этот скомпрометированный сервер. (« Оставьте это для отчета о последствиях ».)
Сокрытие инцидента безопасности не вариант.
Отчетность перед местными властями.
ServerFault НЕ является местом для юридических консультаций, но это то, что должно быть включено в план реагирования на инциденты.
В некоторых местах и / или регулируемых отраслях обязательно сообщать о (определенных) инцидентах безопасности местным правоохранительным, регулирующим органам или информировать заинтересованных клиентов / пользователей.
В любом случае, ни решение о предоставлении отчета, ни фактический отчет не принимаются исключительно в отделе ИТ. Ожидайте участия от управления и юридических и корпоративных отделов коммуникаций (маркетинга).
Вы, вероятно, не должны ожидать слишком многого, Интернет - это большое место, где границы не имеют большого значения, но отделы киберпреступности, которые существуют во многих полицейских отделах, действительно раскрывают цифровые преступления и могут привлечь виновных к ответственности.
источник
Я думаю, что все сводится к этому:
Если вы цените свою работу, вам лучше иметь план и регулярно его пересматривать.
Неудача в планировании - это провал, и это нигде более верно, чем в системах безопасности. Когда <отредактированный> поразит поклонника, вам лучше быть готовым с этим справиться.
Здесь есть еще одна (несколько заштрихованная) поговорка: профилактика лучше лечения .
Здесь было несколько рекомендаций, чтобы привлечь экспертов для аудита ваших существующих систем. Я думаю, что это задает вопрос не в то время. Этот вопрос должен был быть задан, когда система была введена в действие, и ответы задокументированы. Кроме того, вопрос не должен звучать так: «Как мы можем предотвратить проникновение людей?» Должно быть "Почему люди должны быть в состоянии взломать вообще?" Аудит группы дыр в вашей сети будет работать только до тех пор, пока новые дыры не будут найдены и использованы. С другой стороны, сети, разработанные с нуля, чтобы только определенным образом реагировать на определенные системы в тщательно хореографическом танце, не выиграют от аудита вообще, и средства будут пустой тратой.
Прежде чем разместить систему в интернете, спросите себя - нужно ли это на 100% интернет? Если нет, не надо. Подумайте о том, чтобы поместить его за брандмауэр, чтобы вы могли решить, что видит интернет. Еще лучше, если указанный брандмауэр позволяет вам перехватывать передачи (через обратный прокси-сервер или какой-либо сквозной фильтр), обратите внимание на его использование, чтобы разрешить только законные действия.
Это было сделано - где-то есть (или была) система интернет-банкинга, в которой есть прокси-сервер балансировки нагрузки, обращенный к Интернету, который они собирались использовать для направления атак от своего пула серверов. Эксперт по безопасности Маркус Ранум убедил их придерживаться противоположного подхода, используя обратный прокси-сервер для пропуска только известных действительных URL-адресов и отправки всего остального на сервер 404 . Он выдержал испытание временем на удивление хорошо.
Система или сеть, основанная на разрешении по умолчанию, обречена на провал, если атака, которую вы не предвидели, произойдет. Отклонение по умолчанию дает вам гораздо больший контроль над тем, что входит, а что нет, потому что вы не позволите, чтобы что-то внутри было видно со стороны, если это чертовски не нужно .
Тем не менее, все это не повод для самоуспокоенности. У вас все еще должен быть план на первые несколько часов после нарушения. Ни одна система не идеальна, и люди делают ошибки.
источник
Недавно мне помог хороший онлайн-редактор, чтобы выяснить, как злоумышленник может взломать систему. Некоторые взломщики пытаются скрыть свои следы, подделывая время модификации файлов. При изменении времени модификации время изменения обновляется (ctime). Вы можете увидеть Ctime со стат.
Этот вкладыш содержит список всех файлов, отсортированных по ctime:
Таким образом, если вы приблизительно знаете время компромисса, вы можете увидеть, какие файлы изменены или созданы.
источник