Каковы основные этапы судебной экспертизы linux box после его взлома?
15
Каковы основные этапы судебной экспертизы linux box после его взлома?
Допустим, это общий linux-сервер mail / web / database / ftp / ssh / samba. И начал рассылать спам, сканировать другие системы. Как начать искать способы взлома и кто за это отвечает?
Вот несколько вещей, которые нужно попробовать перед перезагрузкой:
Прежде всего, если вы считаете, что вас могут скомпрометировать, отключите сетевой кабель, чтобы аппарат не мог нанести дальнейший ущерб.
Затем, если возможно, воздержитесь от перезагрузки , так как многие следы злоумышленника могут быть удалены путем перезагрузки.
Если вы думали заранее и у вас есть удаленная регистрация , используйте ваши удаленные журналы, а не те, которые находятся на машине, поскольку кому-то слишком легко вмешиваться в журналы на машине. Но если у вас нет удаленных журналов, внимательно изучите локальные.
Проверьте dmesg , так как он будет заменен и после перезагрузки.
В Linux можно запускать программы - даже после удаления запущенного файла. Проверьте это с помощью командного файла / proc / [0-9] * / exe | grep "(удалено)" . (они исчезают при перезагрузке, конечно). Если вы хотите сохранить копию работающей программы на диск, используйте / bin / dd if = / proc / filename / exe of = filename
Если вы знаете хорошие копии who / ps / ls / netstat, используйте эти инструменты, чтобы проверить, что происходит на коробке. Обратите внимание, что если установлен руткит , эти утилиты обычно заменяются копиями, которые не дают точной информации.
Проблема в том, как узнать, хороши ли ваши копии ps / ls / .... Вы можете проверить их md5sum, но опять же, md5sum, возможно, также был заменен.
Амариллион
2
Я храню вторую копию этих критических файлов (и md5sum) вместе с md5sum оригиналов во всех наших системах. Затем я нагио проверяю их md5sums на предмет совпадения каждый час.
Брент
8
Это полностью зависит от того, что было взломано, но в целом,
Проверьте временные метки файлов, которые были изменены ненадлежащим образом, и сопоставьте их с успешными ssh (в / var / log / auth *) и ftp (в / var / log / vsftp *, если вы используете vsftp в качестве сервера), чтобы узнайте, какая учетная запись была взломана, и с какого IP-адреса произошла атака.
Вы, вероятно, можете узнать, была ли учетная запись грубой, если было много неудачных попыток входа в систему для той же учетной записи. Если не было или было несколько неудачных попыток входа в систему для этой учетной записи, то, вероятно, пароль был обнаружен другими способами, и владельцу этой учетной записи требуется лекция о безопасности пароля.
Если IP-адрес откуда-то поблизости, это может быть "внутренняя работа"
Если учетная запись root была скомпрометирована, конечно, у вас большие проблемы, и я, если возможно, переформатировал бы и перестроил коробку с нуля. Конечно, вы должны изменить все пароли в любом случае.
Вы должны проверить все журналы запущенных приложений. Например, журналы Apache могут рассказать вам, как хакер мог выполнить произвольные команды в вашей системе.
Также проверьте, запущены ли у вас процессы, которые сканируют серверы или рассылают спам. Если это так, пользователь Unix, от которого он работает, может рассказать вам, как ваш ящик был взломан. Если это www-данные, то вы знаете, что это Apache и т. Д.
Имейте в виду, что иногда некоторые программы, такие psкак заменяются ...
Вы должны выключить, подключить жесткий диск к интерфейсу только для чтения (это специальный интерфейс IDE или SATA, или USB и т. Д.), Который не допускает никаких записей, что-то вроде этого: http: //www.forensic- computers.com/handBridges.php ) и сделать точный дуп с DD.
Вы можете сделать это с другим жестким диском, или вы можете сделать это с образом диска.
Затем храните в более безопасном и безопасном месте тот жесткий диск, который является оригинальным доказательством без какого-либо вмешательства!
Позже вы можете подключить этот клонированный диск или образ к вашему компьютеру. Если это диск, вы должны подключить его через интерфейс только для чтения, а если вы собираетесь работать с образом, подключите его «только для чтения».
Тогда вы можете работать над этим, снова и снова, не меняя никаких данных ...
К вашему сведению, в Интернете есть «взломанные» образы систем для практики, так что вы можете заниматься судебной экспертизой «дома» ...
PS: А как насчет взломанной системы, сбитой? если я думаю, что система взломана, я бы не оставил ее подключенной, я бы положил туда новый жесткий диск и восстановил бы резервную копию или запустил новый сервер в эксплуатацию, пока не закончится криминалистика ...
Вот несколько причин, которые имеют смысл для меня:
Оцените ущерб
Рисунок, как они попали в
Определить, была ли это внутренняя работа
Выходить за рамки этого часто не имеет смысла. Полиции часто все равно, и если бы они это сделали, они бы конфисковали ваше оборудование и провели собственный судебный анализ.
В зависимости от того, что вы узнаете, вы можете сделать свою жизнь намного проще. Если ретрансляция SMTP скомпрометирована, и вы определили, что это произошло из-за отсутствующего патча, использованного внешней стороной, все готово. Переустановите коробку, исправьте все, что нужно, и двигайтесь дальше.
Часто, когда возникает слово «криминалистика», люди видят CSI и думают о том, чтобы выяснить все виды мучительных подробностей о том, что произошло. Это может быть так, но не делайте из этого огромного подъема, если вам не нужно.
Это моя политика работодателей, чтобы расследовать.
Казимирас Алиулис
С точки зрения сисадмина, криминалистика - это не обвинение или юридические проблемы, а исправление ошибок и повышение безопасности
Брент
0
Я не читал другие ответы, но я сделал бы призрачное изображение этого, чтобы сохранить доказательства и только исследовать изображение .... возможно ...
Я настоятельно рекомендую прочитать статью " Dead Linux Machines Do Tell Tales ", опубликованную Институтом SANS. Это с 2003 года, но информация все еще ценна сегодня.
Это полностью зависит от того, что было взломано, но в целом,
Проверьте временные метки файлов, которые были изменены ненадлежащим образом, и сопоставьте их с успешными ssh (в / var / log / auth *) и ftp (в / var / log / vsftp *, если вы используете vsftp в качестве сервера), чтобы узнайте, какая учетная запись была взломана, и с какого IP-адреса произошла атака.
Вы, вероятно, можете узнать, была ли учетная запись грубой, если было много неудачных попыток входа в систему для той же учетной записи. Если не было или было несколько неудачных попыток входа в систему для этой учетной записи, то, вероятно, пароль был обнаружен другими способами, и владельцу этой учетной записи требуется лекция о безопасности пароля.
Если IP-адрес откуда-то поблизости, это может быть "внутренняя работа"
Если учетная запись root была скомпрометирована, конечно, у вас большие проблемы, и я, если возможно, переформатировал бы и перестроил коробку с нуля. Конечно, вы должны изменить все пароли в любом случае.
источник
Вы должны проверить все журналы запущенных приложений. Например, журналы Apache могут рассказать вам, как хакер мог выполнить произвольные команды в вашей системе.
Также проверьте, запущены ли у вас процессы, которые сканируют серверы или рассылают спам. Если это так, пользователь Unix, от которого он работает, может рассказать вам, как ваш ящик был взломан. Если это www-данные, то вы знаете, что это Apache и т. Д.
Имейте в виду, что иногда некоторые программы, такие
psкак заменяются ...источник
Naaah!
Вы должны выключить, подключить жесткий диск к интерфейсу только для чтения (это специальный интерфейс IDE или SATA, или USB и т. Д.), Который не допускает никаких записей, что-то вроде этого: http: //www.forensic- computers.com/handBridges.php ) и сделать точный дуп с DD.
Вы можете сделать это с другим жестким диском, или вы можете сделать это с образом диска.
Затем храните в более безопасном и безопасном месте тот жесткий диск, который является оригинальным доказательством без какого-либо вмешательства!
Позже вы можете подключить этот клонированный диск или образ к вашему компьютеру. Если это диск, вы должны подключить его через интерфейс только для чтения, а если вы собираетесь работать с образом, подключите его «только для чтения».
Тогда вы можете работать над этим, снова и снова, не меняя никаких данных ...
К вашему сведению, в Интернете есть «взломанные» образы систем для практики, так что вы можете заниматься судебной экспертизой «дома» ...
PS: А как насчет взломанной системы, сбитой? если я думаю, что система взломана, я бы не оставил ее подключенной, я бы положил туда новый жесткий диск и восстановил бы резервную копию или запустил новый сервер в эксплуатацию, пока не закончится криминалистика ...
источник
Возьмите дамп памяти и проанализируйте его с помощью инструмента экспертизы памяти, такого как Second Look .
источник
Сначала вы должны спросить себя: «Почему?»
Вот несколько причин, которые имеют смысл для меня:
Выходить за рамки этого часто не имеет смысла. Полиции часто все равно, и если бы они это сделали, они бы конфисковали ваше оборудование и провели собственный судебный анализ.
В зависимости от того, что вы узнаете, вы можете сделать свою жизнь намного проще. Если ретрансляция SMTP скомпрометирована, и вы определили, что это произошло из-за отсутствующего патча, использованного внешней стороной, все готово. Переустановите коробку, исправьте все, что нужно, и двигайтесь дальше.
Часто, когда возникает слово «криминалистика», люди видят CSI и думают о том, чтобы выяснить все виды мучительных подробностей о том, что произошло. Это может быть так, но не делайте из этого огромного подъема, если вам не нужно.
источник
Я не читал другие ответы, но я сделал бы призрачное изображение этого, чтобы сохранить доказательства и только исследовать изображение .... возможно ...
источник
Я настоятельно рекомендую прочитать статью " Dead Linux Machines Do Tell Tales ", опубликованную Институтом SANS. Это с 2003 года, но информация все еще ценна сегодня.
источник