Каковы основные этапы судебной экспертизы linux box после его взлома?

15

Каковы основные этапы судебной экспертизы linux box после его взлома?

Допустим, это общий linux-сервер mail / web / database / ftp / ssh / samba. И начал рассылать спам, сканировать другие системы. Как начать искать способы взлома и кто за это отвечает?

Казимирас Алиулис
источник

Ответы:

11

Вот несколько вещей, которые нужно попробовать перед перезагрузкой:

Прежде всего, если вы считаете, что вас могут скомпрометировать, отключите сетевой кабель, чтобы аппарат не мог нанести дальнейший ущерб.

Затем, если возможно, воздержитесь от перезагрузки , так как многие следы злоумышленника могут быть удалены путем перезагрузки.

Если вы думали заранее и у вас есть удаленная регистрация , используйте ваши удаленные журналы, а не те, которые находятся на машине, поскольку кому-то слишком легко вмешиваться в журналы на машине. Но если у вас нет удаленных журналов, внимательно изучите локальные.

Проверьте dmesg , так как он будет заменен и после перезагрузки.

В Linux можно запускать программы - даже после удаления запущенного файла. Проверьте это с помощью командного файла / proc / [0-9] * / exe | grep "(удалено)" . (они исчезают при перезагрузке, конечно). Если вы хотите сохранить копию работающей программы на диск, используйте / bin / dd if = / proc / filename / exe of = filename

Если вы знаете хорошие копии who / ps / ls / netstat, используйте эти инструменты, чтобы проверить, что происходит на коробке. Обратите внимание, что если установлен руткит , эти утилиты обычно заменяются копиями, которые не дают точной информации.

казарка
источник
Проблема в том, как узнать, хороши ли ваши копии ps / ls / .... Вы можете проверить их md5sum, но опять же, md5sum, возможно, также был заменен.
Амариллион
2
Я храню вторую копию этих критических файлов (и md5sum) вместе с md5sum оригиналов во всех наших системах. Затем я нагио проверяю их md5sums на предмет совпадения каждый час.
Брент
8

Это полностью зависит от того, что было взломано, но в целом,

Проверьте временные метки файлов, которые были изменены ненадлежащим образом, и сопоставьте их с успешными ssh (в / var / log / auth *) и ftp (в / var / log / vsftp *, если вы используете vsftp в качестве сервера), чтобы узнайте, какая учетная запись была взломана, и с какого IP-адреса произошла атака.

Вы, вероятно, можете узнать, была ли учетная запись грубой, если было много неудачных попыток входа в систему для той же учетной записи. Если не было или было несколько неудачных попыток входа в систему для этой учетной записи, то, вероятно, пароль был обнаружен другими способами, и владельцу этой учетной записи требуется лекция о безопасности пароля.

Если IP-адрес откуда-то поблизости, это может быть "внутренняя работа"

Если учетная запись root была скомпрометирована, конечно, у вас большие проблемы, и я, если возможно, переформатировал бы и перестроил коробку с нуля. Конечно, вы должны изменить все пароли в любом случае.

amarillion
источник
2

Вы должны проверить все журналы запущенных приложений. Например, журналы Apache могут рассказать вам, как хакер мог выполнить произвольные команды в вашей системе.

Также проверьте, запущены ли у вас процессы, которые сканируют серверы или рассылают спам. Если это так, пользователь Unix, от которого он работает, может рассказать вам, как ваш ящик был взломан. Если это www-данные, то вы знаете, что это Apache и т. Д.

Имейте в виду, что иногда некоторые программы, такие psкак заменяются ...

Жюльен Тартарин
источник
1

Naaah!

Вы должны выключить, подключить жесткий диск к интерфейсу только для чтения (это специальный интерфейс IDE или SATA, или USB и т. Д.), Который не допускает никаких записей, что-то вроде этого: http: //www.forensic- computers.com/handBridges.php ) и сделать точный дуп с DD.

Вы можете сделать это с другим жестким диском, или вы можете сделать это с образом диска.

Затем храните в более безопасном и безопасном месте тот жесткий диск, который является оригинальным доказательством без какого-либо вмешательства!

Позже вы можете подключить этот клонированный диск или образ к вашему компьютеру. Если это диск, вы должны подключить его через интерфейс только для чтения, а если вы собираетесь работать с образом, подключите его «только для чтения».

Тогда вы можете работать над этим, снова и снова, не меняя никаких данных ...

К вашему сведению, в Интернете есть «взломанные» образы систем для практики, так что вы можете заниматься судебной экспертизой «дома» ...

PS: А как насчет взломанной системы, сбитой? если я думаю, что система взломана, я бы не оставил ее подключенной, я бы положил туда новый жесткий диск и восстановил бы резервную копию или запустил новый сервер в эксплуатацию, пока не закончится криминалистика ...

Андор
источник
0

Сначала вы должны спросить себя: «Почему?»

Вот несколько причин, которые имеют смысл для меня:

  • Оцените ущерб
  • Рисунок, как они попали в
  • Определить, была ли это внутренняя работа

Выходить за рамки этого часто не имеет смысла. Полиции часто все равно, и если бы они это сделали, они бы конфисковали ваше оборудование и провели собственный судебный анализ.

В зависимости от того, что вы узнаете, вы можете сделать свою жизнь намного проще. Если ретрансляция SMTP скомпрометирована, и вы определили, что это произошло из-за отсутствующего патча, использованного внешней стороной, все готово. Переустановите коробку, исправьте все, что нужно, и двигайтесь дальше.

Часто, когда возникает слово «криминалистика», люди видят CSI и думают о том, чтобы выяснить все виды мучительных подробностей о том, что произошло. Это может быть так, но не делайте из этого огромного подъема, если вам не нужно.

duffbeer703
источник
Это моя политика работодателей, чтобы расследовать.
Казимирас Алиулис
С точки зрения сисадмина, криминалистика - это не обвинение или юридические проблемы, а исправление ошибок и повышение безопасности
Брент
0

Я не читал другие ответы, но я сделал бы призрачное изображение этого, чтобы сохранить доказательства и только исследовать изображение .... возможно ...

cop1152
источник
0

Я настоятельно рекомендую прочитать статью " Dead Linux Machines Do Tell Tales ", опубликованную Институтом SANS. Это с 2003 года, но информация все еще ценна сегодня.

andrewd18
источник