Netzwerk oder Strom ziehen? (zum Contianing eines gerooteten Servers)

Wenn ein Server (verwurzelt wird zB eine Situation wie diese ), eines der ersten Dinge , die Sie tun können beschließen, ist Haltung . Einige Sicherheitsspezialisten raten davon ab, sofort eine Korrektur durchzuführen und den Server online zu halten, bis die Forensik abgeschlossen ist. Diese Ratschläge gelten normalerweise für APT . Es ist anders, wenn Sie gelegentlich Verstöße gegen das Script-Kiddie haben , sodass Sie sich möglicherweise dazu entschließen, die Probleme frühzeitig zu beheben. Einer der Schritte bei der Korrektur ist die Eindämmung des Servers. Zitat aus Robert Moirs Antwort - " Trenne das Opfer von seinen Muggern".

Ein Server kann durch Ziehen am Netzwerkkabel oder am enthalten sein Stromkabel enthalten sein .

Welche Methode ist besser?

Unter Berücksichtigung der Notwendigkeit von:

1. Schutz der Opfer vor weiteren Schäden
2. Erfolgreiche Forensik durchführen
3. (Möglicherweise) Schutz wertvoller Daten auf dem Server

Bearbeiten: 5 Annahmen

Angenommen:

1. Sie haben früh erkannt: 24 Stunden.
2. Sie möchten frühzeitig wiederherstellen: 3 Tage mit 1 Systemadministrator im Einsatz (Forensik und Wiederherstellung).
3. Der Server ist keine virtuelle Maschine oder ein Container, der einen Snapshot erstellen kann, der den Inhalt des Serverspeichers erfasst.
4. Sie beschließen, keine Strafverfolgung zu versuchen.
5. Sie vermuten, dass der Angreifer eine (möglicherweise hoch entwickelte) Software verwendet und diese Software noch auf dem Server ausgeführt wird.

Wenn Sie mit einem APT konfrontiert sind, können Sie am besten einen Honeypot einrichten und den gesamten Datenverkehr, der in ihn hinein und aus ihm heraus fließt, gründlich untersuchen und den Server überwachen.

Das Durchlaufen des Speichers ist in Bezug auf Zeit und Aufwand so teuer, dass es sich normalerweise nicht lohnt, wenn Sie nicht jede andere Methode ausprobiert haben. Wenn Sie feststellen, dass es sich lohnt, ist es im Allgemeinen am besten, einen Honeypot einzurichten, mit dem Sie problemlos einen Speicherauszug erstellen können Der Speicher- und Systemstatus wird im laufenden Betrieb auf einen anderen Computer übertragen, sodass Sie Analysen durchführen können, ohne dass die Gefahr besteht, dass er erkannt wird, während der Computer in Betrieb ist.

Ich hatte eine Situation, in der der Angreifer alles so weit im Speicher hielt, dass der Computer bis auf Protokolle genau so aussah wie sein Image, sobald er aus- und wieder eingeschaltet wurde. Sie würden sich dann wieder einhacken und es wieder verwenden, da die Sicherheitslücke immer noch vorhanden war - sie mussten keine Hintertüren für sich selbst hinterlassen. Eine Speicherauswertung hätte hier helfen können, aber in diesem Fall war es ausreichend, den Datenverkehr zu beobachten, um die Sicherheitsanfälligkeit schnell zu erkennen.

Deshalb:

Der einzige Grund, um zu vermeiden, dass die Stromversorgung unterbrochen und eine Offline-Festplattenauswertung durchgeführt wird, besteht darin, dass Sie sich die Mühe machen müssen, eine gründliche Speicheranalyse der Bedrohung durchzuführen, während diese vorhanden ist und in Betrieb ist. Wenn Sie an einem Punkt angelangt sind, an dem dies erforderlich ist, gibt es keinen Grund, einen der Stecker zu ziehen.

Wenn Sie keine Speicheranalyse durchführen, ist das Ziehen des Netzsteckers die beste Wahl. Wenn Sie das Ethernet ziehen (oder einen Befehl zum Herunterfahren verwenden), wird die Software des Angreifers nur im Voraus benachrichtigt - was gelegentlich von Bedeutung ist.

So:

Ziehen Sie beide, es sei denn, Sie führen eine Speicheranalyse durch. In diesem Fall ziehen Sie auch nicht.

RAM-Forensik (zB / dev / shm) kann hilfreich sein.

Aber ich ziehe es vor, das Netzkabel abzuziehen (aber versuche mich vorher anzumelden und rsync / proc).

Die Gründe für das Stromkabel sind:

1. Wenn Sie in einem gehackten System Forensik betreiben, "treten Sie überall am Tatort auf".
2. Das Root-Kit läuft weiter - nicht so schwer für die Böswilligen, etwas (z. B. Systemlöschung) beim Network Link Down- Ereignis auszuführen .

Kyle Rankin gab ein nettes Intro zum Forensik- Vortrag - dort empfiehlt er, am Stromkabel zu ziehen.

Trennen Sie das Netzwerk. Der Angreifer kann keine zusätzlichen Informationen abrufen, wenn keine Netzwerkverbindung besteht. Es ist sehr schwer (sprich: unmöglich), Forensik ohne Strom durchzuführen.

In der heutigen Zeit könnte es sich um eine virtuelle Maschine handeln, sodass beide Methoden einfach sind und sogar remote ausgeführt werden können. (Virtuelle Maschinen bieten natürlich auch die Möglichkeit, Snapshots zu verwenden.)

Ich würde vorschlagen, die Verbindung zum Netzwerk als automatischen ersten Schritt zu trennen, da Sie so Zeit haben, über den nächsten Schritt nachzudenken, ob der nächste Schritt das Herausziehen des Netzkabels oder etwas anderes ist. Wenn Sie wissen, dass Ihre "Sicherheitsreaktionsverfahren" für Ihr Unternehmen keine Zeit zum detaillierten Durchsuchen des Computers erfordern, ist es möglicherweise nicht so wichtig, den RAM-Inhalt beizubehalten.

Ich würde vorschlagen, dass es wichtiger ist, das Opfer von seinen Muggern zu trennen, als das Wie, also sind beide Ansätze gültig. Ich hätte keine Probleme damit, das Netzkabel selbst zu ziehen. Sagen wir es so.

Dies ist keine Entweder-Oder-Situation. Im Allgemeinen möchten Sie beides tun - Sie möchten bestimmte Forensiken (Speicherauszug laufender Prozesse, Abhörsockets, Dateien in / tmp usw.) auf einem System durchführen, das aus dem Netzwerk entfernt wurde, und dann Ihre verbleibenden Diagnosen von einem Safe aus durchführen Umgebung (dh eine Live-CD). Es gibt Situationen, in denen keiner der beiden Ansätze der richtige ist, und Sie müssen darüber nachdenken und verstehen, was diese in Ihrer Organisation sein könnten.

Bevor Sie etwas unternehmen, sollten Sie herausfinden, ob Sie Beweise für eine eventuelle Strafverfolgung aufbewahren müssen. Der Umgang mit Beweismitteln ist ein sehr kniffliges Thema und nichts für schwach geschulte Personen. Sobald Sie das beantwortet haben, kann die geschulte Computerforensikerin es von dort übernehmen.

Der Server muss nicht ausgeschaltet werden. Sie können die Konnektivität einfach über das Border Gateway / Router deaktivieren. Eine Firewall-Regel reicht aus, um weitere gesendete / empfangene Pakete zu verwerfen.

Die Antwort hängt weitgehend davon ab, was Sie unter "verwurzelt" verstehen. Das Ziehen der Netzwerkleitung ist normalerweise eine gute Idee, insbesondere wenn Sie glauben, dass dies ein aktiver menschlicher Angreifer war, der nach vertraulichen Informationen suchte.

Das Ziehen der Kraft ist viel schwieriger zu beantworten. Wenn Sie der Meinung sind, dass bösartiger Code ausgeführt wird, der möglicherweise seine Spuren verwischt, tun Sie dies. Wenn Sie jedoch der Meinung sind, dass sich möglicherweise noch ein Einbruch im Speicher befindet, lassen Sie ihn laufen.

Insgesamt hängt es davon ab, ob Sie mit bösartigem Code, verärgerten Mitarbeitern oder jemandem mit einem bestimmten Ziel zu tun haben.

Wenn Sie vorsichtig sind, ziehen Sie die Stromversorgung. Sie verlieren eine kleine Menge potenzieller Beweise, können jedoch die massive Entfernung anderer Beweise durch automatisierten Code verhindern.

- Wenn Sie jedoch der Meinung sind, dass die Maschine kompromittiert wurde und Sie wissen, dass sie keine vertraulichen Daten enthält, sind Sie von Ihrer Netzwerksicherheit an anderer Stelle sehr überzeugt und verstehen die Konsequenzen, die sich daraus ergeben Sehen Sie nach, ob Sie den Angriff verfolgen oder verstehen können, und gehen Sie von dort aus. Das ist normalerweise keine gute Idee

Meine Antwort war vor der Bearbeitung mit den 5 Annahmen.
Ich ging davon aus, dass Sie es mit einem hoch entwickelten, zielgerichteten Angreifer zu tun haben, wenn Ihr Server gerootet wurde, und dass Sie nicht wissen können, wann und woher der Angriff kam. (Da der Computer gerootet war, können Sie offensichtlich nichts vertrauen, was er Ihnen sagt. Möglicherweise haben Sie jedoch einige Off-Box-Informationen, z. B. IDS ...)
Ich nahm auch an, dass Sie Interesse daran haben, mit Ihrem Angreifer umzugehen und nicht nur zu winken ihn weg wie eine lästige Fliege. Wenn der angenommene Angreifer ein Script-Kiddie ist, wäre dies anders. Ich ging auch davon aus, dass der Angreifer, da er zielgerichtet und ausgefeilt ist, wahrscheinlich benutzerdefinierte Software auf Ihrem Computer ausführt, die auf Ihre Aktionen darauf reagieren kann ...

Weder.
Schauen Sie sich /security//q/181/33 an , so oder so ist es eine schlechte Idee.
Es ist, als würde man dem schwarzen Ritter ein paar Bandaids geben ... zu wenig, zu spät, es wird einfach nicht viel helfen.

Für alle, die der Meinung sind, dass diese Antwort zu weit draußen oder einfach nicht "sicherheitsbewusst" genug ist, müssen Sie erkennen, dass es bereits zu spät ist .
Es ist nicht mehr Ihr Server, auch wenn Sie ihn vollständig trennen. Selbst wenn Sie herunterfahren, führen Sie alle Ihre AVs und was auch immer aus - Sie besitzen es nicht mehr, sie tun es.
Das ist irgendwie die Definition von "verwurzelt".

Unter der Annahme, dass sie es besitzen und ihr Eigentum vor Ihnen verbergen können, müssen Sie sich überlegen, was das Trennen der Verbindung bewirken wird.
Das Einzige, was es erreichen wird - da es trotzdem weiterhin verwurzelt ist - ist, Ihren Gegner wissen zu lassen, dass Sie auf dem richtigen Weg sind. Das bringt ihre Wachen einfach auf und bringt sie dazu, nach sich selbst aufzuräumen (falls sie es noch nicht getan haben), was jede Hoffnung auf Forensik zunichte macht.
Sie schützen diesen Server oder seine Daten immer noch nicht. Wie lange ist es her ? verwurzelt? Wie würdest du wissen?

Was machst du besser:

• Lassen Sie den Server laufen ...
• Isolieren Sie es vom Rest Ihres internen Netzwerks, anderen Servern usw. - aber am besten schließen Sie eine Art Simulation an, so scheint es verbunden zu sein .
• Starten Sie leise die Echtzeit- / Netzwerkforensik, führen Sie Traces aus usw.
• Versuchen Sie, das Ausmaß und die Länge des Schadens herauszufinden (offensichtlich ist es anders, wenn es vor 2 Stunden oder vor 2 Monaten passiert ist).
• Fahren Sie von dort fort ... Erst nachdem Sie den tatsächlichen Schaden gemindert haben, können Sie ihn bereinigen.
• Vergessen Sie natürlich nicht, die Ursachen zu untersuchen und alle Kontrollen durchzusetzen, um sicherzustellen, dass es nicht wieder vorkommt ...

Nachdem Sie Ihre Annahmen überprüft haben, tun Sie beides. Verwenden Sie ein CD / DVD-basiertes Medium, um den aktuellen Status zu sichern. In erster Linie möchten Sie in der Lage sein, festzustellen, wie Sie kompromittiert wurden. Möglicherweise möchten Sie auch versuchen, Benutzerdaten wiederherzustellen, die nicht auf Ihren Backup-Images enthalten sind. Yo

Erstellen Sie dann das System von den neuesten Sicherungsmedien neu, die nicht kontaminiert sind. Überprüfen Sie dies nach Möglichkeit mit Prüfsummen. Alternativ können Sie die Software vom Installationsmedium neu installieren und neu konfigurieren. Die Neukonfiguration sollte automatisch erfolgen, wenn Sie Ihren Server mit Puppet oder cfEngine konfiguriert haben.

Laden Sie die Benutzerdaten neu und suchen Sie nach Root-Kit-Komponenten. Stellen Sie sicher, dass Sie keine setuid- oder setgid-Programme in den Datenverzeichnissen haben.

Bestimmen und schließen Sie die Zugriffsmethode, mit der das System infiziert wird. Die Reaktivierung des Servers wird schrittweise durchgeführt, um zu überprüfen, ob die Anwendungen wie erwartet ausgeführt werden. Achten Sie sorgfältig auf neue Infektionsversuche.

Dies alles setzt voraus, dass sich die Infektion auf Wurzelebene befindet. Webinfektionen können durch Ändern des vom Webserver ausgeführten Codes durchgeführt werden. Wenn Sie dem Webserver Schreibzugriff auf seinen Code gewähren, wird dies möglicherweise einfacher. Möglicherweise möchten Sie diesen Fall dennoch so behandeln, als ob das Root-Konto kompromittiert wurde.

Wenn root auf einem System auf einem System kompromittiert wurde, sind möglicherweise mehr Systeme kompromittiert. Überlegen Sie sorgfältig, auf welche Systeme vom infizierten System ohne Kennwort zugegriffen werden kann.