Finden, wie ein gehackter Server gehackt wurde

11

Ich habe gerade die Website durchsucht und diese Frage gefunden: Mein Server wurde NOTFALL gehackt . Grundsätzlich lautet die Frage: Mein Server wurde gehackt. Was soll ich machen?

Die beste Antwort ist ausgezeichnet, hat aber einige Fragen in meinem Kopf aufgeworfen. Einer der vorgeschlagenen Schritte ist:

Untersuchen Sie die "angegriffenen" Systeme, um zu verstehen, wie die Angriffe Ihre Sicherheit gefährdet haben. Bemühen Sie sich nach Kräften, herauszufinden, woher die Angriffe "kamen", damit Sie verstehen, welche Probleme Sie haben und angehen müssen, um Ihr System in Zukunft sicher zu machen.

Ich habe keine Systemadministrationsarbeit geleistet, daher habe ich keine Ahnung, wie ich damit anfangen würde. Was wäre der erste Schritt? Ich weiß, dass Sie in den Server-Protokolldateien nachsehen können, aber als Angreifer würde ich als erstes die Protokolldateien löschen. Wie würden Sie "verstehen", wie die Angriffe erfolgreich waren?

security 
sechzig Fuß
quelle
Ich habe ein paar "gehackte" Server gesehen und keiner von ihnen hatte Protokolle gelöscht. Ich weiß, dass es häufig vorkommt. Der Angreifer hat normalerweise ein primäres Ziel (Daten stehlen oder den Server üblicherweise als Proxy / Vermittler verwenden), und die Verschleierung seiner Eingabe ist ein sekundäres Ziel.
Chris S
IMHO wäre es besser, sich zu fragen, wie man einen Server besser sichert und wie man ihn richtig prüft.
Tmow
In der heutigen Zeit stammen "gehackte" Server häufig aus automatisierten Skript-Kiddie-Tools, die Protokolle selten löschen und oft nur wenig versuchen, sich selbst zu verstecken.
Sirex

Antworten:

11

Ich beginne damit, dass ich, wenn Sie KEINE LOG-DATEIEN haben , eine ziemlich gute Chance habe, dass Sie NIE verstehen, wo oder wie der Angriff erfolgreich war. Selbst mit vollständigen und ordnungsgemäßen Protokolldateien kann es äußerst schwierig sein, vollständig zu verstehen, wer, was, wo, wann, warum und wie.

Wenn Sie also wissen, wie wichtig Protokolldateien sind, beginnen Sie zu verstehen, wie sicher Sie sie aufbewahren müssen. Aus diesem Grund investieren Unternehmen in Security Information & Event Management oder kurz SIEM.

SIEM

Kurz gesagt, das Korrelieren aller Ihrer Protokolldateien zu bestimmten Ereignissen (zeitbasiert oder auf andere Weise) kann eine äußerst entmutigende Aufgabe sein. Schauen Sie sich einfach Ihre Firewall-Syslogs im Debug-Modus an, wenn Sie mir nicht glauben. Und das nur von einem Gerät! Ein SIEM-Prozess fügt diese Protokolldateien in eine Reihe logischer Ereignisse ein, wodurch es viel einfacher wird, herauszufinden, was passiert ist.

Um ein besseres Verständnis des Wie zu erhalten, ist es hilfreich, Penetrationsmethoden zu studieren .

Es ist auch hilfreich zu wissen, wie ein Virus geschrieben wird. Oder wie man ein Rootkit schreibt .

Es kann auch äußerst vorteilhaft sein, einen Honigtopf einzurichten und zu studieren .

Es ist auch hilfreich, einen Protokollparser zu haben und sich damit vertraut zu machen.

Es ist hilfreich, eine Basis für Ihr Netzwerk und Ihre Systeme zu erstellen. Was ist "normaler" Verkehr in Ihrer Situation im Vergleich zu "abnormalem" Verkehr?

CERT bietet eine hervorragende Anleitung, was zu tun ist, nachdem Ihr Computer gehackt wurde, insbesondere (was sich direkt auf Ihre spezifische Frage bezieht) den Abschnitt "Analysieren des Eindringens":

  • Suchen Sie nach Änderungen an der Systemsoftware und den Konfigurationsdateien
  • Suchen Sie nach Änderungen an Daten
  • Suchen Sie nach Tools und Daten, die der Eindringling zurückgelassen hat
  • Überprüfen Sie die Protokolldateien
  • Suchen Sie nach Anzeichen eines Netzwerk-Sniffers
  • Überprüfen Sie andere Systeme in Ihrem Netzwerk
  • Suchen Sie an entfernten Standorten nach beteiligten oder betroffenen Systemen

Es gibt viele ähnliche Fragen wie Sie, die auf SF gestellt wurden:

  1. Wie man ein Post-Mortem eines Server-Hacks durchführt
  2. Seltsame Elemente in Hosts File und Netstat
  3. Ist das ein Hack-Versuch?
  4. Wie kann ich Linux aus Hacking- oder Sicherheitsgesichtspunkten lernen?

Dies kann ein äußerst komplizierter und komplizierter Prozess sein. Die meisten Leute, ich eingeschlossen, würden nur einen Berater einstellen, wenn er mehr involviert wäre, als meine SIEM-Geräte zusammenstellen könnten.

Und es scheint, wenn Sie jemals zu wollen , voll verstehen , wie Ihre Systeme gehackt wurden, müssen Sie verbringen Jahre sie studieren und Frauen geben.

GregD
quelle
+1 für die Grundsteinlegung, bevor es mit SIEM passiert
Rob Moir
Es tut uns leid. Meine Antwort ist im Moment überall. Ich begann um 04:00 Uhr mit dem Schreiben und mein Kaffee IV wurde noch nicht eingesetzt.
GregD
2

Die Antwort auf dieses eine bisschen kann eine Million Meilen breit und hoch sein, und das Aufheben der Auswahl eines gehackten Servers kann fast wie eine Kunstform sein, also werde ich wieder eher Ausgangspunkte und Beispiele als einen endgültigen Satz nennen von Schritten zu folgen.

Beachten Sie, dass Sie nach einem Eingriff Ihren Code, Ihre Systemadministration / -konfiguration und -prozeduren mit dem Wissen prüfen können, dass dort definitiv eine Schwachstelle vorliegt. Das hilft mehr, die Motivation zu fördern, als nach einer theoretischen Schwäche zu suchen, die möglicherweise vorhanden ist oder nicht. Sehr oft stellen Leute Sachen online, während sie wissen, dass der Code etwas schwieriger hätte geprüft werden können, wenn wir nur die Zeit hätten; oder das System ist etwas fester verriegelt, wenn es nur nicht so unpraktisch wäre; oder Verfahren, die etwas enger gefasst wurden, wenn es für den Chef nicht so störend wäre, sich lange Passwörter zu merken. Wir alle wissen, wo unsere wahrscheinlichsten Schwachstellen liegen. Beginnen Sie also mit diesen.

In einer idealen Welt werden Protokolle auf einem anderen (hoffentlich nicht gefährdeten) Syslog- Server gespeichert , nicht nur von Servern, sondern auch von Firewalls, Routern usw., die auch den Datenverkehr protokollieren. Es gibt auch Tools wie Nessus , mit denen ein System analysiert und nach Schwachstellen gesucht werden kann.

Für Software / Framworks von Drittanbietern gibt es häufig Best-Practice-Anleitungen, mit denen Sie Ihre Bereitstellung überwachen können, oder Sie widmen den Sicherheitsnachrichten und Patch-Zeitplänen mehr Aufmerksamkeit und decken einige Lücken auf, die möglicherweise verwendet wurden.

Schließlich hinterlassen die meisten Eingriffe einen Spoor ... wenn Sie die Zeit und Geduld haben, ihn zu finden. "Drive by" -Skript-Kiddie-Intrusionen oder Einbrüche mit Hacking-Toolkits konzentrieren sich in der Regel auf häufig auftretende Schwachstellen und können ein Muster hinterlassen, das Sie in die richtige Richtung weist. Die am schwierigsten zu analysierende Sache kann ein manuell gesteuertes Eindringen sein (z. B. wollte jemand nicht "eine" Website hacken, sondern "Ihre" Website speziell hacken), und dies sind natürlich die wichtigsten Dinge, die zu verstehen sind.

Für jemanden, der wirklich nicht weiß, wo er anfangen soll (oder sogar für erfahrene Leute, die andere Aufgaben haben), besteht der erste Schritt darin, wahrscheinlich jemanden einzustellen, der über gute Erfahrungen mit den oben genannten Schritten verfügt. Ein weiterer Vorteil dieses Ansatzes besteht darin, dass sie Ihr Setup ohne vorgefasste Vorstellungen oder persönlichen Anteil an den Antworten betrachten.

Rob Moir
quelle
1
+1 Tatsächlich würde ich hinzufügen, dass Verhindern besser ist als Kämpfen. Das bedeutet auch, nur zu verhindern, dass eines Tages etwas passiert. Daher ist es auf den ersten Blick wichtig, eine Strategie zu haben, um die Fehlerbehebung zu vereinfachen und die Auswirkungen zu verringern.
Tmow
1

"Ich weiß, dass Sie in den Server-Protokolldateien nachsehen können, aber als Angreifer würde ich als erstes die Protokolldateien löschen."

Abhängig von der Art des Kompromisses verfügt der Angreifer möglicherweise nicht über ausreichend hohe Berechtigungen auf dem gefährdeten Server, um Protokolle löschen zu können. Es wird auch empfohlen, Serverprotokolle auf einem anderen Server zu speichern, um Manipulationen zu verhindern (die in bestimmten Intervallen automatisch exportiert werden).

Über die gefährdeten Serverprotokolle hinaus gibt es noch Netzwerkprotokolle (Firewall, Router usw.) sowie Authentifizierungsprotokolle vom Verzeichnisdienst, falls vorhanden (Active Directory, RADIUS usw.).

Das Betrachten von Protokollen ist also immer noch eines der besten Dinge, die getan werden können.

Wenn ich mich mit einer kompromittierten Box befasse, ist das Durchsuchen von Protokollen immer eine meiner wichtigsten Methoden, um das Geschehene zusammenzusetzen.

-Josh

Josh Brower
quelle
Ich habe im letzten Semester eine sehr begrenzte Protokollanalyse für eine Klasse durchgeführt. Wie würden Sie das Loch in einer massiven Protokolldatei finden? Würden Sie sich die letzten Einträge ansehen? Wie würden Sie verdächtige Einträge identifizieren?
Sixtyfootersdude
Wie würden Sie verdächtige Einträge identifizieren? Idealerweise, indem Sie Protokollverläufe zum Vergleich aufbewahren und / oder sie häufig genug untersuchen, um zu wissen, wie nicht verdächtige Einträge aussehen, sodass Sie die normalen alltäglichen Dinge eliminieren und genau untersuchen können, was noch übrig ist.
Rob Moir
1
Ich würde Moir zustimmen. Der Systemadministrator muss das System so gut kennen, dass er weiß, wann ein Dienst ausgeführt wird, der nicht ausgeführt werden sollte. Einige verdächtige Protokolleinträge sind sehr leicht zu finden, da sie eine bestimmte Signatur haben, die sie hinterlassen (z. B. Nimda-Scannen), während bei anderen Protokolleinträgen nur mehr Kontext bestimmt, ob sie legitim sind oder nicht.
Josh Brower
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.