ฉันเป็นเพียงการเรียกดูผ่านทางเว็บไซต์และพบว่าคำถามนี้: เซิร์ฟเวอร์ของฉันได้รับเมื่อเกิดเหตุฉุกเฉินที่ถูกแฮ็ก โดยทั่วไปคำถามบอกว่า: เซิร์ฟเวอร์ของฉันถูกแฮ็ก ฉันควรทำอย่างไรดี?

ตอบที่ดีที่สุดที่เป็นเลิศ แต่มันยกคำถามบางอย่างในใจของฉัน หนึ่งในขั้นตอนที่แนะนำคือ:

Examine the 'attacked' systems to understand how the attacks succeeded in compromising your security. Make every effort to find out where the attacks "came from", so that you understand what problems you have and need to address to make your system safe in the future.

ฉันไม่ได้ทำงานผู้ดูแลระบบเลย เลยไม่รู้ว่าฉันจะเริ่มทำสิ่งนี้ได้อย่างไร ก้าวแรกจะเป็นอย่างไร? ฉันรู้ว่าคุณสามารถดูไฟล์บันทึกของเซิร์ฟเวอร์ได้ แต่ในฐานะผู้โจมตี สิ่งแรกที่ฉันจะทำคือการลบไฟล์บันทึก คุณจะ "เข้าใจ" ว่าการโจมตีสำเร็จได้อย่างไร?

answer

ฉันจะเริ่มต้นด้วยการพูดแบบนี้ หากคุณไม่มี LOG FILESก็มีโอกาสที่ดีพอสมควรที่คุณจะไม่มีวันเข้าใจว่าการโจมตีสำเร็จจากที่ใดหรืออย่างไร แม้ว่าจะมีล็อกไฟล์ที่สมบูรณ์และเหมาะสม แต่ก็อาจเป็นเรื่องยากอย่างยิ่งที่จะเข้าใจอย่างถ่องแท้ว่าใคร อะไร ที่ไหน เมื่อไร ทำไม และอย่างไร

ดังนั้น เมื่อรู้ว่าไฟล์บันทึกมีความสำคัญเพียงใด คุณจะเริ่มเข้าใจว่าคุณต้องเก็บรักษาไฟล์เหล่านั้นไว้อย่างปลอดภัยเพียงใด ซึ่งเป็นเหตุผลที่บริษัทต่างๆ ทำและควรลงทุนในSecurity Information & Event Managementหรือ SIEM แบบสั้นๆ

SIEM

โดยสรุป การเชื่อมโยงไฟล์บันทึกทั้งหมดของคุณเข้ากับเหตุการณ์เฉพาะ (ตามเวลาหรืออย่างอื่น) อาจเป็นงานที่น่ากลัวอย่างยิ่ง แค่ดูที่ไฟร์วอลล์ของคุณ syslogs ในโหมดดีบัก ถ้าคุณไม่เชื่อฉัน และนั่นเป็นเพียงอุปกรณ์เดียว! กระบวนการ SIEM จะนำไฟล์บันทึกเหล่านี้ไปไว้ในชุดของเหตุการณ์เชิงตรรกะ ซึ่งทำให้ทราบว่าเกิดอะไรขึ้น เข้าใจง่ายขึ้นมาก

ในการเริ่มต้นที่จะมีความเข้าใจที่ดีของวิธีการที่เป็นประโยชน์ในการศึกษาวิธีการเจาะ

การรู้ว่าไวรัสเขียนอย่างไรก็มีประโยชน์เช่นกัน หรือวิธีการเขียนรูทคิ

นอกจากนี้ยังสามารถเป็นประโยชน์อย่างมากในการติดตั้งและการศึกษาhoneypot

นอกจากนี้ยังช่วยให้มีตัวแยกวิเคราะห์บันทึกและมีความเชี่ยวชาญด้วย

การรวบรวมพื้นฐานสำหรับเครือข่ายและระบบของคุณจะเป็นประโยชน์ การรับส่งข้อมูล "ปกติ" ในสถานการณ์ของคุณเทียบกับการรับส่งข้อมูล "ผิดปกติ" คืออะไร

CERTมีคำแนะนำที่ดีเกี่ยวกับสิ่งที่ต้องทำหลังจากที่คอมพิวเตอร์ของคุณถูกแฮ็ก โดยเฉพาะอย่างยิ่ง (ซึ่งเกี่ยวข้องกับคำถามเฉพาะของคุณโดยตรง) ในส่วน "วิเคราะห์การบุกรุก":

  • ค้นหาการแก้ไขที่ทำกับซอฟต์แวร์ระบบและไฟล์การกำหนดค่า
  • มองหาการปรับเปลี่ยนข้อมูล
  • มองหาเครื่องมือและข้อมูลที่ถูกทิ้งไว้โดยผู้บุกรุก
  • ตรวจสอบไฟล์บันทึก
  • มองหาสัญญาณของการดมกลิ่นเครือข่าย
  • ตรวจสอบระบบอื่นๆ บนเครือข่ายของคุณ
  • ตรวจสอบระบบที่เกี่ยวข้องหรือได้รับผลกระทบที่ไซต์ระยะไกล

มีคำถามมากมายที่คล้ายกับของคุณซึ่งถูกถามใน SF:

  1. วิธีทำชันสูตรพลิกศพของเซิร์ฟเวอร์แฮ็ค
  2. รายการแปลก ๆ ในไฟล์โฮสต์และ Netstat
  3. นี่คือความพยายามในการแฮ็คหรือไม่?
  4. ฉันจะเรียนรู้ Linux จากการแฮ็กหรือมุมมองด้านความปลอดภัยได้อย่างไร

นี่อาจเป็นกระบวนการที่ซับซ้อนและเกี่ยวข้องอย่างยิ่ง คนส่วนใหญ่รวมถึงฉันด้วย จะจ้างที่ปรึกษาถ้ามันเกี่ยวข้องมากกว่าที่อุปกรณ์ SIEM ของฉันสามารถรวบรวมได้

และเห็นได้ชัดว่าถ้าคุณเคยต้องการที่จะเต็มเข้าใจวิธีการที่ระบบของคุณถูกแฮ็กคุณจะต้องจ่ายปี การศึกษาพวกเขาและให้ผู้หญิง

คำตอบสำหรับสิ่งเล็กน้อยนั้นอาจมีความกว้างและสูงเป็นล้านไมล์ และการไม่เลือกสิ่งที่เกิดขึ้นกับเซิร์ฟเวอร์ที่ถูกแฮ็กนั้นอาจเป็นงานศิลปะได้เกือบเท่าอย่างอื่น ดังนั้นอีกครั้งฉันจะให้จุดเริ่มต้นและตัวอย่างมากกว่าชุดที่ชัดเจน ของขั้นตอนที่ต้องปฏิบัติตาม

สิ่งหนึ่งที่ต้องจำไว้คือ เมื่อคุณเผชิญกับการบุกรุก คุณสามารถตรวจสอบรหัส การดูแลระบบ/การกำหนดค่า และขั้นตอนต่างๆ โดยรู้ว่ามีจุดอ่อนอยู่ที่นั่นอย่างแน่นอน ที่ช่วยขับเคลื่อนแรงจูงใจมากกว่าการค้นหาจุดอ่อนทางทฤษฎีที่อาจจะมีหรือไม่มีก็ได้ บ่อยครั้งที่ผู้คนใส่ข้อมูลออนไลน์โดยที่รู้ว่าโค้ดนั้นอาจได้รับการตรวจสอบยากขึ้นอีกหน่อย ถ้าเรามีเวลา หรือระบบล็อคแน่นขึ้นเล็กน้อยหากไม่สะดวก หรือขั้นตอนที่รัดกุมขึ้นเล็กน้อย หากไม่เป็นการรบกวนที่เจ้านายจะจดจำรหัสผ่านที่ยาวเหยียด เราทุกคนรู้ดีว่าจุดอ่อนที่มีแนวโน้มมากที่สุดของเราอยู่ที่ใด ดังนั้นให้เริ่มจากจุดนั้น

ในโลกอุดมคติ คุณจะมีบันทึกที่เก็บไว้ในเซิร์ฟเวอร์syslogอื่น (หวังว่าจะไม่ถูกบุกรุก) ไม่ใช่แค่จากเซิร์ฟเวอร์ แต่จากไฟร์วอลล์ เราเตอร์ ฯลฯ ที่บันทึกการรับส่งข้อมูลด้วย นอกจากนี้ยังมีเครื่องมืออย่างNessusที่สามารถวิเคราะห์ระบบและค้นหาจุดอ่อนได้

สำหรับซอฟต์แวร์/เฟรมเวิร์กจากบุคคลที่สาม มักมีแนวทางปฏิบัติที่ดีที่สุดที่คุณสามารถใช้เพื่อตรวจสอบการปรับใช้ของคุณ หรือคุณอาจให้ความสำคัญกับข่าวด้านความปลอดภัยและกำหนดการแพตช์มากขึ้น และค้นพบช่องโหว่ที่อาจเคยใช้งาน

สุดท้ายนี้ การบุกรุกส่วนใหญ่จะทิ้งร่องรอยไว้... หากคุณมีเวลาและความอดทนในการค้นหา สคริปต์ "ขับโดย" การบุกรุกตัวเล็ก ๆ หรือบุกรุกโดยใช้ชุดเครื่องมือการแฮ็กมักจะเน้นที่จุดอ่อนทั่วไปและอาจทำให้รูปแบบที่ชี้คุณไปในทิศทางที่ถูกต้อง สิ่งที่ยากที่สุดในการวิเคราะห์อาจเป็นการบุกรุกโดยตรง (เช่น มีคนไม่ต้องการแฮ็คเว็บไซต์ "a" แต่ต้องการแฮ็กเว็บไซต์ "ของคุณ" โดยเฉพาะ) และแน่นอนว่าสิ่งเหล่านี้เป็นสิ่งสำคัญที่สุดที่ต้องทำความเข้าใจ

สำหรับคนที่ไม่รู้จะเริ่มตรงไหนจริงๆ (หรือแม้แต่คนที่มีประสบการณ์และมีหน้าที่อย่างอื่น) ขั้นตอนแรกคืออาจจะจ้างคนที่มีประสบการณ์ที่ดีในขั้นตอนข้างต้น ข้อดีอีกประการของแนวทางดังกล่าวคือพวกเขาจะดูการตั้งค่าของคุณโดยไม่มีความคิดอุปาทานหรือส่วนได้เสียส่วนตัวในคำตอบ

"ฉันรู้ว่าคุณสามารถดูไฟล์บันทึกของเซิร์ฟเวอร์ได้ แต่ในฐานะผู้โจมตี สิ่งแรกที่ฉันจะทำคือลบไฟล์บันทึก"

ผู้โจมตีอาจมีสิทธิ์ไม่เพียงพอบนเซิร์ฟเวอร์ที่ถูกบุกรุก ทั้งนี้ขึ้นอยู่กับประเภทของการประนีประนอมที่จะสามารถลบบันทึกได้ แนวทางปฏิบัติที่ดีที่สุดคือให้เก็บบันทึกเซิร์ฟเวอร์ไว้นอกบ็อกซ์บนเซิร์ฟเวอร์อื่น เพื่อป้องกันการปลอมแปลง (ส่งออกโดยอัตโนมัติในช่วงเวลาที่กำหนด)

นอกเหนือจากบันทึกเซิร์ฟเวอร์ที่ถูกบุกรุกแล้ว ยังมีบันทึกเครือข่าย (ไฟร์วอลล์ เราเตอร์ ฯลฯ) รวมถึงบันทึกการตรวจสอบสิทธิ์จากบริการไดเรกทอรี หากมี (Active Directory, RADIUS, ect)

ดังนั้นการดูบันทึกจึงเป็นหนึ่งในสิ่งที่ดีที่สุดที่สามารถทำได้

เมื่อต้องรับมือกับกล่องที่ถูกบุกรุก การลอดผ่านบันทึกเป็นวิธีสำคัญวิธีหนึ่งของฉันในการรวบรวมสิ่งที่เกิดขึ้น

-จอช