Ich beginne damit, dass ich, wenn Sie KEINE LOG-DATEIEN haben , eine ziemlich gute Chance habe, dass Sie NIE verstehen, wo oder wie der Angriff erfolgreich war. Selbst mit vollständigen und ordnungsgemäßen Protokolldateien kann es äußerst schwierig sein, vollständig zu verstehen, wer, was, wo, wann, warum und wie.
Wenn Sie also wissen, wie wichtig Protokolldateien sind, beginnen Sie zu verstehen, wie sicher Sie sie aufbewahren müssen. Aus diesem Grund investieren Unternehmen in Security Information & Event Management oder kurz SIEM.
Kurz gesagt, das Korrelieren aller Ihrer Protokolldateien zu bestimmten Ereignissen (zeitbasiert oder auf andere Weise) kann eine äußerst entmutigende Aufgabe sein. Schauen Sie sich einfach Ihre Firewall-Syslogs im Debug-Modus an, wenn Sie mir nicht glauben. Und das nur von einem Gerät! Ein SIEM-Prozess fügt diese Protokolldateien in eine Reihe logischer Ereignisse ein, wodurch es viel einfacher wird, herauszufinden, was passiert ist.
Um ein besseres Verständnis des Wie zu erhalten, ist es hilfreich, Penetrationsmethoden zu studieren .
Es ist auch hilfreich zu wissen, wie ein Virus geschrieben wird. Oder wie man ein Rootkit schreibt .
Es kann auch äußerst vorteilhaft sein, einen Honigtopf einzurichten und zu studieren .
Es ist auch hilfreich, einen Protokollparser zu haben und sich damit vertraut zu machen.
Es ist hilfreich, eine Basis für Ihr Netzwerk und Ihre Systeme zu erstellen. Was ist "normaler" Verkehr in Ihrer Situation im Vergleich zu "abnormalem" Verkehr?
CERT bietet eine hervorragende Anleitung, was zu tun ist, nachdem Ihr Computer gehackt wurde, insbesondere (was sich direkt auf Ihre spezifische Frage bezieht) den Abschnitt "Analysieren des Eindringens":
- Suchen Sie nach Änderungen an der Systemsoftware und den Konfigurationsdateien
- Suchen Sie nach Änderungen an Daten
- Suchen Sie nach Tools und Daten, die der Eindringling zurückgelassen hat
- Überprüfen Sie die Protokolldateien
- Suchen Sie nach Anzeichen eines Netzwerk-Sniffers
- Überprüfen Sie andere Systeme in Ihrem Netzwerk
- Suchen Sie an entfernten Standorten nach beteiligten oder betroffenen Systemen
Es gibt viele ähnliche Fragen wie Sie, die auf SF gestellt wurden:
- Wie man ein Post-Mortem eines Server-Hacks durchführt
- Seltsame Elemente in Hosts File und Netstat
- Ist das ein Hack-Versuch?
- Wie kann ich Linux aus Hacking- oder Sicherheitsgesichtspunkten lernen?
Dies kann ein äußerst komplizierter und komplizierter Prozess sein. Die meisten Leute, ich eingeschlossen, würden nur einen Berater einstellen, wenn er mehr involviert wäre, als meine SIEM-Geräte zusammenstellen könnten.
Und es scheint, wenn Sie jemals zu wollen , voll verstehen , wie Ihre Systeme gehackt wurden, müssen Sie verbringen Jahre sie studieren und Frauen geben.