Soru Güvenliği ihlal edilen bir sunucu ile nasıl baş edebilirim?


Bu bir Kanonik Soru Sunucu Güvenliği Hakkında - İhlal Olaylarına Yanıt Verme (Hacking)
  Ayrıca bakınız:

Kanonik Versiyon
Sunucularımın bir veya daha fazlasının bir bilgisayar korsanı, virüs veya başka bir mekanizma tarafından tehlikeye girdiğinden şüpheleniyorum:

  • İlk adımlarım neler? Siteye vardığımda sunucunun bağlantısını kesmem, "kanıtları" koru, diğer ilk değerlendirmeler var mı?
  • Çevrimiçi hizmet almaktan nasıl vazgeçebilirim?
  • Aynı şeyin hemen tekrar olmasını nasıl engellerim?
  • Bu olaydan öğrenmek için en iyi yöntemler veya metodolojiler var mı?
  • Bir Olay Tepkisi Planı'nı bir araya getirmek istesem nerede başlarım? Bu, Felaket Kurtarma veya İş Sürekliliği Planlamamın bir parçası mı olmalı?

Orijinal versiyon 

2011.01.02 - Saat 9: 30'da işe gidiyorum. Pazar günü, sunucumuz bir şekilde tehlikeye düştü ve sonuçta bir    DOS sağlayıcımıza saldırı. Sunucuların İnternet erişimi   Müşterilerimizin sitelerinin 5-600'den fazlası kapatıldı.   aşağı. Şimdi bu bir FTP hack, ya da kodda bazı zayıflık olabilir   yere. Oraya varıncaya emin değilim.

Bunu nasıl hızlıca takip edebilirim? Çok fazla yerdeyiz   Eğer sunucu ASAP'yi geri almazsam dava açar. Herhangi bir yardım   takdir. Açık SUSE 11.0'ı kullanıyoruz.


2011.01.03 - Yardımınız için herkese teşekkürler. Neyse ki ben sadece bu sunucu için sorumlu tek kişi, sadece en yakın değildi. Biz başardık   Bu sorunu çözmek için, ancak bir çok başkaları için geçerli olmayabilir.   farklı durum. Yaptıklarımızı detaylandırırım.

Sunucuyu ağdan çıkardık. Yapıyordu (teşebbüs etmek   Endonezya'da başka bir sunucuda Hizmet Reddi saldırısı gerçekleştirir,   ve suçlu parti de orada dayanıyordu.

İlk olarak, sunucunun nereden geldiğini tespit etmeye çalıştık.   sunucuda 500'den fazla sitemiz olduğunu düşünürsek,   bir süre için ay ışığı. Ancak SSH erişimi hala devam ettikçe   saldırılarda düzenlenmiş veya oluşturulan tüm dosyaları bulmak için komut   başladı. Neyse ki, kışkırtıcı dosya kış boyunca yaratıldı   başka bir deyişle, başka bir dosya oluşturulmadığı anlamına geliyor   o anda sunucu.

Daha sonra içerideki rahatsız edici dosyayı tespit edebildik.   içinde yüklenen resimler klasörü ZenCart Web sitesi.

Kısa bir sigara molasından sonra, dosyalar nedeniyle sonuçlandı.   konum, bir dosya yükleme özelliği aracılığıyla yüklenmiş olmalıdır.   intopquetly güvenli oldu. Biraz googling ettikten sonra,   Dosyaların yüklenmesine izin veren bir güvenlik açığı   Bir kayıt şirketi için bir resim için ZenCart yönetici paneli. (Bölüm   hiç kullanmadı bile, bu formu göndererek   dosya, dosyanın uzantısını kontrol etmedi ve hatta   kullanıcının giriş yapıp yapmadığını kontrol et.

Bu, bir PHP dosyası da dahil olmak üzere herhangi bir dosyanın yüklenebileceği anlamına geliyordu.   saldırı Zararlıyı ZenCart ile virüs bulaşmış durumda güvenli hale getirdik   site ve rahatsız edici dosyaları kaldırdı.

İş bitti ve ben sabah 2'de evdeydim.


Ahlak   - Her zaman ZenCart ya da bu konuyla ilgili başka bir CMS sistemi için güvenlik yamaları uygulayın. Güvenlik güncellemeleri yayınlandığında olduğu gibi   Dünya savunmasızlığın farkındadır.   - Her zaman yedekler ve yedeklerinizi yedekleyin.   - Böyle zamanlarda orada olacak birini işe alın veya düzenleyin. Sunucuda panik bir gönderiye güvenmemek için   Arıza.


578
2018-01-02 21:31


Menşei


Nasıl hissettiğinizi biliyorum - bu sitede "yararlı" bilgisayar korsanlarıyla çok şanslı olduk. Gelecekte "hayırsever" misafirlerin olması durumunda, bu soruya büyük cevaplar bekliyorum. - Jarrod Dixon♦
Yardım için bir profesyonel ara! - marcog
Akıllı iktidarsız ya da huzursuz olmayan (ben de değilim) ses çıkarmak istemiyorum ve tabii ki durumunuzun ayrıntılarından habersiz değilim, ancak 500-600 site kurulumundan sorumlu tek kişi sizseniz Bu sunucunun nasıl çalıştırıldığının temel bir kusuru olmak. Bazı şirketler, gün boyunca başka hiçbir şey yapmayan, sunucularını koruyan özel bir sysadmin kullanırlar. değil otomatik olarak bir programcının kapsamı içinde olsa da, bu şekilde görünebilir. Belki de kriz bittiğinde dikkate değer bir şey. Neyse, şu anda, eldeki durumu çözmede bol şans çözüldü. - Pekka 웃
Mutlak bir şekilde, tam bir kırık çekirdek kiti olduğunu ve kök şifrenizin ele geçirildiğini varsayalım. Muhtemelen sadece sinsi bir bash / perl betiği ve koroun burada ne yapmasına rağmen biçimlendirmeden temizlenmesi mümkün ... serverfault.com/questions/639699/... - Hayden Thring


Cevaplar:


Burada yayınladığınızdan özel bir tavsiye vermek zor ama blog'um hala rahatsız olabileceğime dair yazdığım bir yazıya dayanan genel bir tavsiyem var.

Panik yapma

Öncelikle ilk olarak, sisteminizi bir müdahaleden önce alınan bir yedeklemeden geri yüklemekten başka "hızlı düzeltmeler" yoktur ve bunun en az iki sorunu vardır.

  1. Saldırı gerçekleştiğinde kesin olarak belirlemek zor.
  2. Son kez kırılmasına izin veren "delik" i kapatmanıza ya da meydana gelebilecek herhangi bir "veri hırsızlığı" nın sonuçlarına müdahale etmenize yardımcı olmaz.

Bu soru, web sunucularına giren bilgisayar korsanlarının kurbanları tarafından defalarca sorulmaya devam ediyor. Cevaplar çok nadiren değişiyor, ama insanlar soruyu sormaya devam ediyor. Neden olduğundan emin değilim. Belki de insanlar yardım ararken gördükleri cevapları beğenmezler ya da onlara tavsiyede bulunacakları birini bulamazlar. Ya da belki de insanlar bu sorunun cevabını okuyorlar ve vakalarının neden özel olduğunu ve çevrimiçi bulabilecekleri cevaplardan farklı olarak% 5'inin üzerinde odaklanıyorlar ve sorunun% 95'ini kaçırıyorlar ve davanın yeterince yakın olduğu yerlere cevap veriyorlar. çevrimiçi okuduğu gibi.

Bu beni ilk önemli bilgi külçesine getiriyor. Gerçekten çok özel bir kar tanesi olduğunuzu takdir ediyorum. Web sitenizin de, sizin ve işinizin bir yansıması ya da en azından bir işveren adına yaptığınız sıkı çalışmanın bir göstergesi olduğu için teşekkür ederim. Ama dışarıdan bakan birisine, bir bilgisayar güvenlik sorumlusu, problemi görüp görmediğinize, hatta size ve hatta saldırganın kendisine yardım edip etmeyeceğine, büyük olasılıkla probleminizin en az% 95'inin her diğer durum için özdeş olması muhtemeldir. hiç baktım.

Saldırıyı şahsen almayın ve burada takip ettiğiniz veya başkalarından kişisel olarak aldığınız önerileri almayın. Eğer sadece bir web sitesinin kurbanı olduktan sonra bunu okuyorsanız o zaman gerçekten üzgünüm, ve umarım burada yararlı bir şeyler bulabilirsin, ama bu egonuzun ihtiyacınız olan şeylere ulaşmasına izin verme zamanı değildir. yap.

Sunucularınızın saldırıya uğradığını öğrendiniz. Şimdi ne olacak?

Panik yapma. Kesinlikle acele etmeyin ve kesinlikle hiçbir şey olmamış gibi davranmaya çalışmayın ve hiç hareket etmeyin.

Birincisi: felaketin zaten gerçekleşmiş olduğunu anlayın. Bu reddetme zamanı değil; Olanları kabul etme, bunun hakkında gerçekçi olma ve etkinin sonuçlarını yönetmek için adımlar atmanın zamanı geldi.

Bu adımlardan bazıları zarar görecek ve (web sitenizin detaylarımın bir kopyasını almadığı sürece), bu adımların tümünü veya bir kısmını göz ardı ederseniz gerçekten umurumda değil, bu size kalmış. Ancak onları düzgün bir şekilde takip etmek işleri daha iyi hale getirecektir. İlaç korkunç tadı olabilir ama bazen tedavi için gerçekten çalışmak istiyorsanız bunu gözden kaçırmanız gerekir.

Sorunu halihazırda olduğundan daha kötüye gitmekten kaldır:

  1. Yapmanız gereken ilk şey, etkilenen sistemleri Internet'ten ayırmaktır. Diğer sorunlarınız ne olursa olsun, sistemi internete bağlı bırakmak, saldırının devam etmesine izin verecektir. Bunu tam anlamıyla anlamıyorum; Başka bir şey yapmaya çalışmadan önce, birileri fiziksel olarak sunucuyu ziyaret etmeli ve ağ kablolarını çıkarmalı.
  2. Güvenliği ihlal edilen sistemlerle aynı ağdaki tüm bilgisayarlardaki tüm hesaplarınız için tüm şifrelerinizi değiştirin. Gerçekten yok. Bütün hesaplar. Tüm bilgisayarlar. Evet, haklısın, bu aşırı olabilir; Öte yandan, olmayabilir. Sen hiç bir şekilde bilmiyorsun değil mi?
  3. Diğer sistemlerinizi kontrol edin. Diğer İnternet hizmetlerine ve finansal veya ticari olarak hassas olan diğer verilere sahip olanlara özel dikkat gösterin.
  4. Sistem herhangi birinin kişisel verilerini tutuyorsa, derhal veri korumadan sorumlu kişiyi bilgilendirin (eğer siz değilseniz) ve URGE tam bir açıklama. Bunun zor olduğunu biliyorum. Bunun bir yaralanacağını biliyorum. Birçok işletmenin bu tür bir sorunu halı altında süpürmek istediğini biliyorum, ancak iş onunla uğraşmak zorunda kalacak - ve bununla ilgili tüm gizlilik yasalarına bir göz atmak zorunda.

Ancak müşterilerinizin size bir sorundan bahsetmek zorunda kalması rahatsız olabilir, eğer onlara söylemezseniz çok daha fazla rahatsız olurlar ve bir başkasının kredi kartı bilgilerini kullanarak 8,000 dolar değerinde mallar ödendikten sonra kendileri olduğunu öğrenirler. sitenizden çaldı.

Daha önce söylediğimi hatırladın mı? Kötü şey zaten oldu. Tek sorun şu ki, bununla ne kadar iyi başa çıkıyorsun.

Problemi tam olarak anlayın:

  1. Bu yazıyı yazmaya karar verdiğim kişi, aslında bu yazıyı yazmaya karar vermiş olan kişi olmak istemediğiniz sürece, bu aşama tamamlanana kadar etkilenen sistemleri tekrar çevrimiçi duruma geçirmeyin. İnsanların ucuz bir kahkaha alabilmesi için bu yazıya bağlanmayacağım ama gerçek trajedi insanların hatalarından öğrenemedikleri zamandır.
  2. Saldırıların güvenliğini tehlikeye atmada nasıl başarılı olduğunu anlamak için 'saldırıya uğramış' sistemleri inceleyin. Saldırıların nereden geldiğini bulmak için her türlü çabayı gösterin, böylece sisteminizin gelecekte güvenli hale getirilmesi için hangi sorunların olduğunu ve ele almanız gerektiğini anlayın.
  3. 'Saldırı' sistemlerini tekrar inceleyin, bu sefer saldırıların nereye gittiğini anlayın, böylece saldırıda hangi sistemlerin tehlikede olduğunu anlayın. Güvenliği ihlal eden sistemlerin sisteminize daha fazla saldırmak için bir sıçrama tahtası olabileceğini gösteren herhangi bir işaretçiyi takip ettiğinizden emin olun.
  4. Tüm saldırılarda kullanılan "ağ geçitlerinin" tam olarak anlaşıldığından emin olun, böylece bunları düzgün bir şekilde kapatmaya başlayabilirsiniz. (ör. sistemleriniz bir SQL enjeksiyon saldırısı tarafından tehlikeye atılmışsa, o zaman sadece onlar tarafından girilen özel kusurlu kod satırını kapatmak zorunda değilsiniz, aynı tür bir hata olup olmadığını görmek için tüm kodunuzu denetlemek istersiniz. başka yerde yapıldı).
  5. Saldırıların birden fazla kusur nedeniyle başarılı olabileceğini anlayın. Çoğu zaman, saldırılar bir sistemde büyük bir hata bulmaktan ziyade bir sistemi tehlikeye atmak için birkaç sorunu (bazen küçük ve önemsiz) bir araya getirerek başarılı olmazlar. Örneğin, bir veritabanı sunucusuna komut göndermek için SQL Injection saldırılarını kullanarak, saldıracağınız web sitesini / uygulamayı keşfetmek, bir yönetici kullanıcı bağlamında çalışır ve bu hesabın diğer bölümlerini tehlikeye atmak için bir adım atma taşının haklarını kullanır. bir sistem. Ya da hackerlar gibi diyorlar: "İnsanların yaptıkları yaygın hatalardan yararlanarak ofiste başka bir gün".

Neden sadece tespit ettiğiniz rootkit veya rootkit'i "tamir etmiyorsunuz" ve sistemi tekrar çevrimiçi duruma getirmiyorsunuz?

Bu gibi durumlarda, sorun o sisteme artık sahip olmamanızdır. Artık senin bilgisayarın değil.

Olmanın tek yolu belli Sistemin kontrolüne sahip olmanız, sistemi yeniden inşa etmektir. Sisteme girmek için kullanılan istismarın bulunmasında ve düzeltilmesinde çok fazla değer olsa da, davetsiz misafirlerin kontrolü ele geçirdikten sonra sisteme başka neler yapıldığı konusunda emin olamazsınız (gerçekten de, işe alım yapan hackerlar için duyulmamış bir durumdur) Kendilerini kullandıkları istismarları ortadan kaldırmak, yeni bilgisayarlarını diğer bilgisayar korsanlarından korumak ve rootkit'lerini kurmak için bir botnet içine sistemler.

Kurtarma için bir plan yapın ve web sitenizi tekrar çevrimiçi duruma getirin ve ona bağlı kalın:

Kimse olması gerekenden daha uzun süre çevrimdışı olmak istemiyor. Bu verilen bir şey. Bu web sitesi bir gelir getirici mekanizma ise, o zaman hızlı bir şekilde tekrar çevrimiçi duruma getirme baskısı yoğun olacaktır. Söz konusu olan tek şey şirketinizin itibarınız olsa bile, bu durum işleri tekrar hızlandırmak için çok fazla baskı üretmeye devam ediyor.

Ancak, çok hızlı bir şekilde internete geri dönme isteğini vermeyin. Bunun yerine, neyin yol açtığını anlamak için, mümkün olan en hızlı şekilde hareket et ve çevrimiçi geri dönmeden önce onu çöz, aksi takdirde neredeyse bir saldırıya uğrarsın ve bir kez daha saldırıya uğrayacaksın, hatırla, "bir kez hacklenmenin talihsizlik olarak sınıflandırılabilir; Hemen sonra hacklenmek için dikkatsizlik gibi görünüyor "(Oscar Wilde'dan özür dilemekle).

  1. Bu bölüme başlamadan önce, ilk etapta başarılı girişime yol açan tüm sorunları anladığınızı varsayıyorum. Davayı abartmak istemiyorum ama bunu ilk yapmadıysanız gerçekten ihtiyacınız var. Afedersiniz.
  2. Asla şantaj / koruma parası ödemeyin. Bu kolay bir işaretin işaretidir ve bu ifadenin sizi tanımlamak için kullanılmasını istemezsiniz.
  3. Aynı sunucuyu tam bir yeniden oluşturma olmadan tekrar çevrimiçi duruma getirme konusunda cazip olmayın. Eski bir donanımın her bir köşesini denetlemek yerine eski bir donanım üzerinde yeni bir kutu ya da "yörüngeden sunucuyu nuke yap ve temiz bir yükleme yap" işlemi çok daha hızlı olmalı ve geri koymadan önce temiz olduğundan emin olmalı tekrar çevrimiçi. Eğer buna katılmıyorsanız, muhtemelen bir sistemin tam olarak temizlenmesini sağlamak için gerçekten ne anlama geldiğini bilmiyorsunuzdur veya web sitesi dağıtım prosedürleriniz kutsal olmayan bir karmaşadır. Sitenizde, yalnızca canlı siteyi oluşturmak için kullanabileceğiniz yedeklemelere ve test dağıtımlarına sahip olursunuz ve eğer saldırıya uğramıyorsanız en büyük sorununuz olmaz.
  4. Kesmek için sistemde "canlı" olan verileri yeniden kullanmak konusunda çok dikkatli olun. "Asla yapmayın" demeyeceğim çünkü beni görmezden geleceksin, ama açıkçası bence bütünlüğünü garanti edemeyeceğini bilerek veriyi saklamanın sonuçlarını düşünmen gerek. İdeal olarak, bu saldırıdan önce yapılan bir yedeklemeden geri yüklemelisiniz. Bunu yapamazsanız ya da yapmayacaksanız, bu veriye çok dikkat etmelisiniz, çünkü kirletildi. Özellikle bu veriler doğrudan size değil de müşterilere veya site ziyaretçilerine aitse, başkalarının sonuçlarının farkında olmalısınız.
  5. Sistemi / sistemleri dikkatlice izleyin. Bunu gelecekte devam etmekte olan bir süreç olarak (daha aşağıda) yapmak için çözmelisiniz, ancak sitenizi tekrar çevrimiçi olarak takip eden süreçte ihtiyatlı olmak için fazladan ağrı duyuyorsunuz. Davetsiz misafirlerin neredeyse kesinlikle geri dönecekleri ve eğer tekrar kırılmaya çalıştıklarını fark ederseniz, daha önce kullandıkları tüm delikleri gerçekten kapandıktan sonra kendileri için yaptıkları her şeyi gerçekten hızlı bir şekilde görebileceksiniz. Yerel yasa uygulamanıza geçebileceğiniz bilgiler.

Gelecekte riski azaltmak.

Anlamanız gereken ilk şey, güvenliğin, internete bakan bir sistemin tasarlanması, konuşlandırılması ve bakımıyla ilgili tüm yaşam döngüsü boyunca uygulamanız gereken bir süreç olmasıdır. boya. Düzgün bir şekilde güvenceye almak için, bir hizmet ve uygulamanın başlangıçtan itibaren projenin ana hedeflerinden biri olarak tasarlanması gerekmektedir. Bunun çok sıkıcı olduğunu ve daha önce de duyduğunuzu ve beta web2.0 (beta) hizmetinizi web üzerinde beta durumuna getirmenin "sadece basınç adamı olduğunu anlamıyorum", ama gerçek şu ki tekrarlandı çünkü ilk söylendiği zaman doğruydu ve henüz bir yalan olmadı.

Riski ortadan kaldıramazsın. Bunu yapmaya çalışmamalısın bile. Bununla birlikte, yapmanız gereken, sizin için hangi güvenlik risklerinin önemli olduğunu anlamak ve hem riskin etkisini hem de riskin ortaya çıkma olasılığını nasıl yöneteceğini ve azaltacağını anlamaktır.

Bir saldırının başarılı olma olasılığını azaltmak için hangi adımları atabilirsiniz?

Örneğin:

  1. İnsanların sitenize, bir yamanın mevcut olduğu satıcı kodunda bilinen bir hataya girmesine izin veren kusur muydu? Eğer öyleyse, internete bakan sunucularınızdaki uygulamaları nasıl eklediğinize dair yaklaşımınızı yeniden düşünmeniz gerekiyor mu?
  2. İnsanların sitenize girmesine izin verilmeyen ve yama kodu bulunmayan satıcı kodunda bilinmeyen bir hata oluştu. Bu tür bir şey sizi her zaman problemleri olduğu için değiştiren tedarikçilerle uğraşmayı kesinlikle savunmam. Çünkü bu yaklaşımı alırsanız bir yıl içinde platformlardan çıkacaksınız. Ancak, bir sistem sizi sürekli olarak aşağıya bırakırsa, ya daha sağlam bir şeye veya en azından bir yere göç etmelisiniz, böylece sisteminizi yeniden yapılandırın, böylece hassas bileşenler pamuk yününden ve düşmanca gözlerden mümkün olduğunca uzak dursun.
  3. Kusur sizin tarafınızdan geliştirilen kodda bir hata mıydı (ya da sizin için çalışan bir yüklenici)? Öyleyse, canlı sitenize dağıtım kodunu nasıl onaylayacağınıza ilişkin yaklaşımınızı yeniden düşünmeniz gerekiyor mu? Hata, geliştirilmiş bir test sistemi ile veya kodlama "standardında" değişikliklerle yakalanmış olabilir (örneğin, teknoloji bir pankreas olmasa da, iyi belgelenmiş kodlama teknikleri kullanarak başarılı bir SQL enjeksiyon saldırısı olasılığını azaltabilirsiniz) ).
  4. Hata, sunucu veya uygulama yazılımının nasıl dağıtıldığıyla ilgili bir sorun muydu? Öyleyse, mümkün olan yerlerde sunucu oluşturmak ve dağıtmak için otomatik prosedürleri kullanıyor musunuz? Bunlar, tüm sunucularınızda tutarlı bir "temel" durumun sürdürülmesinde, her birinde yapılması gereken özel iş miktarını en aza indirmede ve böylece bir hata yapma olasılığını en aza indirgemede büyük bir yardımcıdır. Aynı şey kod dağıtımıyla da devam eder - web uygulamanızın en son sürümünü dağıtmak için yapılması gereken "özel" bir şey gerekiyorsa, o zaman bunu otomatikleştirmek ve her zaman tutarlı bir şekilde yapıldığından emin olmak için çok uğraşın.
  5. İzinsiz giriş, sistemlerin daha iyi izlenmesiyle daha önce yakalanmış olabilir mi? Tabii ki, personeliniz için 24 saatlik izleme veya bir “çağrı” sistemi uygun maliyetli olmayabilir, ancak sizin için web hizmetlerini sizin için izleyebilecek ve bir sorun olduğunda sizi uyarabilecek şirketler var. Buna karşı koyamayacağınıza ya da buna ihtiyaç duymadığına karar verebilirsiniz ve bu sadece iyi ... sadece dikkate alınız.
  6. Uygun olduğu yerlerde tripwire ve nessus gibi araçları kullanın - ancak onları körü körüne kullanmayın, çünkü öyle söyledim. Ortamınıza uygun olan birkaç iyi güvenlik aracını nasıl kullanacağınızı öğrenmek, bu araçları güncel tutmak ve düzenli olarak kullanmak için zaman ayırın.
  7. Web sitesi güvenliğinizi düzenli olarak denetlemek için güvenlik uzmanlarını işe almayı düşünün. Yine, bunu karşılayamayacağınıza ya da buna ihtiyaç duymadığına karar verebilirsiniz ve bu sadece sorun değil.

Başarılı bir saldırının sonuçlarını azaltmak için hangi adımları atabilirsiniz?

Ev selinizin alt katının “riskinin” yüksek olduğuna, ancak harekete geçmeye yetecek kadar yüksek olmadığına karar verirseniz, en azından üst katta yeri doldurulamaz aile yadigarı hareket etmelisiniz. Sağ?

  1. İnternete doğrudan maruz kalan hizmet miktarını azaltabilir misiniz? Dahili servisleriniz ile İnternet'e bağlı hizmetleriniz arasında bir çeşit boşluk hissedebiliyor musunuz? Bu, harici sistemleriniz tehlikeye atılmış olsa bile, iç sistemlerinizin saldırılarına karşı bir sıçrama tahtası olarak kullanılma şansının sınırlı olmasını sağlar.
  2. Saklamanız gerekmeyen bilgileri saklıyor musunuz? Başka bir yerde arşivlenebiliyorsa, bu tür bilgileri "çevrimiçi" olarak saklıyor musunuz? Bu kısımda iki nokta var; Açık olan, insanların sahip olmadığınız bilgileri çalmadığı ve ikinci nokta ise, ne kadar az depoladığınız, daha az bakım ve kodlama yapmanız gerektiğidir. Böylelikle hataların daha az şansı vardır. kod veya sistem tasarımı.
  3. Web uygulamanız için "en az erişim" ilkelerini mi kullanıyorsunuz? Kullanıcıların yalnızca bir veritabanından okuması gerekiyorsa, web uygulamasının hizmet için kullandığı hesabın yalnızca okuma erişimi olduğunu, yazma erişimine izin vermediğinden ve sistem düzeyinde erişim sağlamadığından emin olun.
  4. Bir konuda çok tecrübeli değilseniz ve işletmeniz için merkezi değilse, dış kaynak kullanmayı düşünün. Başka bir deyişle, masaüstü uygulama kodunu yazmaktan ve küçük masaüstü uygulamalarını siteden satmaya karar verdikten sonra küçük bir web sitesi çalıştırıyorsanız, kredi kartı sipariş sisteminizi Paypal gibi birisine "dış kaynak kullanımı" olarak düşünebilirsiniz.
  5. Mümkünse, Felaket Kurtarma planınızın güvenlik altındaki sistemlerinden kurtarma işlemini gerçekleştirin. Muhtemelen karşılaşabileceğiniz bir başka "felaket senaryosu", sadece bir dizi kendi problemleri ve olağan 'sunucu odasından ateş yakarak' ayrılan konulardan bir tanesi de, devasa bir sunucu tarafından furbies yiyen bir şey tarafından istila edildi.

... Ve sonunda

Muhtemelen diğerlerinin önemli gördüğü şeylerin bir sonu kalmamıştı, ancak yukarıdaki adımlar en azından hackerlara kurban edilmek için yeterince şanssız olmanız durumunda işleri sıralamaya başlamanıza yardım etmelidir.

Her şeyden önce: Panik yapmayın. Harekete geçmeden önce düşün. Karar verdikten sonra sıkıca hareket edin ve adım adım listesine ekleyeceğiniz bir şeyiniz varsa aşağıya bir yorum bırakın.


988
2018-01-02 21:46



Mükemmel bir gönderi için +1, insanların bir yönde başlamasına yardımcı olmak için elinizde. Amatör sunucu yöneticilerinin bu panik kipine ilk kez ne zaman bir "hack" geldiklerini biliyorum. Bu bir Kocaman Bu noktada olmak yanlış, ama olur. Umut, bu aynı kişi için iki kez olmazdı. - Andrew Barber
+1 "... ama bu, egonuzun yapman gereken şeylere girmesine izin verme zamanı değil." Bu, Sys Admins'in bazen anlaması için önemlidir. Ne kadar bilgili olursanız olun, daima sizden daha bilgili veya zekiler olan (bazen kötü niyetli olanlar) vardır. - Grahamux
Mükemmel cevap. Herkesin neden "arama yasası" adımını isteğe bağlı olarak ele aldığı konusunda emin değilim. Başkalarının verilerinin sorumluluğunu taşıyorsanız (ve dava hakkında endişeleniyorsanız) bu, yapılacaklar listenizdeki ilk şeylerden biri olmalıdır. - wds
Çok iyi bir yazı, sadece bir tane var - "Bir kerede potansiyel olarak etkilenen herkese tam ve açık bir açıklama yap." Onurlu, ama her zaman doğru değil. Bir uzlaşmaya yanıt verirken, bazı yönetişim köşelerini kesmeniz gerekebilir ve şirketiniz genellikle sizi biraz rahatlatacaktır, ancak ... özellikle de Veri Koruma uygulamaları ödeme derecenizden yüksek olabilir. yasal çıkarımlar olabilir. Veri korumadan sorumlu kişiyi derhal bilgilendirmeniz (eğer siz değilseniz) ve URGE'nin tam bir açıklama yapması önerilebilir. - TheoJones
@GilesRoberts sanal makine ana bilgisayarları, konuklarının ayarlarını değiştirebilmenizi ve hatta konuk olarak oturum açmak için RDP veya SSH kullanmadan uzaktan kontrol edebilmenizi sağlayan bir kontrol paneline sahiptir. Konuyu konuk için konağın kontrollerini kullanarak izole edebilmeniz gerekir. Daha sonra, konuyu incelemek için uzaktan izleme araçlarını kullanın. - Rob Moir


Kafanın biraz üstünde gibi geliyor; bu iyi. Patronunuzu arayın ve acil güvenlik müdahale bütçesi için pazarlık yapmaya başlayın. Başlamak için 10,000 dolar iyi bir yer olabilir. Ardından güvenlik olayında uzmanlaşan şirketleri aramaya başlamak için birisini (bir PFY, bir iş arkadaşı, bir yönetici) almanız gerekir. Çoğu kişi 24 saat içinde yanıt verebilir ve bazen de sizin ofisinizde bir ofis varsa daha da hızlı olabilir.

Müşterileri de triyaj edecek birine ihtiyacınız var; Şüphesiz, birileri zaten var. Birinin, neler olup bittiğini, durumu ele almak için neler yapıldığını ve sorularını cevaplamak için onlarla birlikte telefonda olması gerekir.

O zaman, ihtiyacın var ...

  1. Sakin ol. Olay yanıtından sorumluysanız, şu anda yaptığınız şey profesyonelliği ve liderliği göstermelidir. Yaptığınız her şeyi belgeleyin ve yöneticinizin ve yönetici ekibinizin aldığınız önemli eylemleri bildirmesini sağlayın; Buna, bir yanıt ekibi ile çalışmayı, sunucuları devre dışı bırakmayı, verileri yedeklemeyi ve bazı şeyleri tekrar çevrimiçi duruma getirmeyi içerir. Onlar gory detaylarına ihtiyaç duymazlar, ancak sizden her 30 dakikada bir haber almalıdırlar.

  2. Gerçekçi ol. Güvenlik uzmanı değilsin ve bilmediğin şeyler var. Bu iyi. Sunuculara giriş yaparken ve veriye bakarken, sınırlarınızı anlamalısınız. Yavaşça bas. Araştırmanız sırasında, hayati bilgilere dayanmadığınızdan veya daha sonra gerekebilecek bir şeyi değiştirmediğinizden emin olun. Rahatsızlık duyuyorsanız ya da tahmin ettiğinizde, bu işi durdurmak için deneyimli bir profesyonel almak ve durdurmak için iyi bir yer.

  3. Temiz bir USB çubuğu alın ve sabit sürücüleri yedekleyin. Burada kanıt toplayacaksın. İlgili olabileceğinizi düşündüğünüz her şeyin yedeklerini yapın; ISP'niz, ağ çöplükleriniz, vb. ile iletişim kurmak. Eğer yasaların uygulanması söz konusu olmasa bile, dava olması durumunda, bu kanıtın, şirketinizin güvenlik olayını profesyonel ve uygun bir şekilde ele aldığını kanıtlamak isteyeceksiniz.

  4. En önemlisi kaybı durdurmaktır. Güvenliği ihlal edilen hizmetlere, verilere ve makinelere erişimi belirleyin ve kesin. Tercihen, ağ kablosunu çekmelisiniz; eğer yapamazsan, o zaman gücü çek.

  5. Ardından, saldırganı kaldırmanız ve delikleri kapatmanız gerekir. Muhtemelen, ağa bağlandığından, saldırganın artık etkileşimli erişimi yoktur. Artık, (yedeklerle, ekran görüntüleriyle ve kendi kişisel gözlem notlarınızla), ya da tercihen etkilenen sunuculardaki sürücüleri kaldırarak ve tam bir disk görüntüsü kopyasını oluşturarak belgeyi tanımlamanız, sonra da geride bıraktığı kodları ve işlemleri kaldırmanız gerekir. . Yedeklemeniz yoksa sonraki bölüm emecek; Saldırganı sistemden el ile çözmeyi deneyebilirsiniz, ancak geride bıraktığı her şeyi aldığınızdan asla emin olamazsınız. Kök setleri kısırdır ve hepsi algılanamaz. En iyi yanıt, almak için kullandığı güvenlik açığını tanımlamak, etkilenen disklerin görüntü kopyalarını yapmak ve ardından etkilenen sistemleri silmek ve bilinen iyi bir yedeklemeden yeniden yüklemek olacaktır. Körü körüne güvenme; Doğrula! Yeni ana makine ağa tekrar girmeden önce güvenlik açığını onarın veya kapatın ve çevrimiçi duruma getirin.

  6. Tüm verilerinizi bir rapor halinde düzenleyin. Bu noktada güvenlik açığı kapalı ve nefes almak için biraz zamanınız var. Bu adımı atlamak için cazip olmayın; Sürecin geri kalanından daha da önemlidir. Raporda, neyin ters gittiğini, ekibinizin nasıl yanıt verdiğini ve bu olayın tekrar meydana gelmesini önlemek için attığınız adımları tanımlamanız gerekir. Olabildiğince ayrıntılı olun; Bu sadece sizin için değil, yönetiminiz için ve olası bir davada savunma olarak.

Bu, ne yapılacağının gökyüzüne dair yüksek bir değerlendirmesidir; Çalışmanın çoğu sadece belgeleme ve yedekleme işlemidir. Panik yapma, bunları yapabilirsin. ben şiddetle Profesyonel güvenlik yardımı almanızı öneririz. Neler olup bittiğine baksanız bile, onların yardımı paha biçilemez ve genellikle süreci daha kolay ve hızlı hale getirmek için ekipman ile birlikte gelir. Patronun bedeli varsa, bir davayı ele almakla kıyaslandığında ona çok küçük olduğunu hatırlat.

Durumunuz için benim özümlerim var. İyi şanslar.


199
2018-01-02 22:16



+1 Harika cevap. OP'nin önceden tanımlanmış bir "acil durum yanıtı" na sahip olmadığı ve göreviniz, diğer iyi şeylerin yanı sıra, bunları kurmaya yönlendirmelidir. - Rob Moir


CERT bir belgeye sahip UNIX veya NT Sistemi Ödün Vermeden Kurtarma Adımları bu iyi. Bu belgenin özel teknik detayları biraz güncel olmakla birlikte, genel tavsiye çoğu doğrudan geçerlidir.

Temel adımların kısa bir özeti budur.

  • Güvenlik politikanıza veya yönetiminize danışın.
  • Kontrolü al (bilgisayarı çevrimdışı kullan)
  • İzinsiz girişleri analiz edin, günlükleri alın, neyin yanlış gittiğini anlayın
  • Tamir malzeme
    • İşletim sisteminizin temiz bir sürümünü yükleyin !!! Sistem tehlikeye atılmışsa, buna güvenemezsiniz.
  • Sistemleri güncelleyin, bu tekrar olamaz
  • Devam işlemleri
  • Gelecek ve belgeniz için politikanızı güncelleyin

Sizi özellikle bölüm E.1'e yönlendirmek istiyorum.

E.1.   Bir makine ise unutmayın   tehlikede, bu sistemdeki her şey   dahil olmak üzere değiştirilmiş olabilir   çekirdek, ikili dosyalar, veri dosyaları,   çalışan süreçler ve bellek. İçinde   genel olarak, buna güvenmenin tek yolu   makine arkadan ve   izinsiz giriş değişiklikleri   işletim

Zaten bir telsiziniz gibi bir sisteminiz yoksa, sistemi temizlediğinizden% 100 emin olmanızın hiçbir yolu yoktur.


105
2018-05-08 09:02



Hatta daha sonra tripwire çekirdek modülleri ve benzeri ile aldanabilir. Yeniden yükleyin. - reconbot
İlgili soru hakkında krizde nasıl cevap verilir Burada da yararlı olabilir. - Zoredache


  1. belirlemek sorun. Günlükleri oku.
  2. içermek. Sunucunun bağlantısını kestin, işte bitti.
  3. Kökünü kurutmak. Büyük olasılıkla, etkilenen sistemi yeniden yükleyin. Kesilen birinin sabit diskini silmeyin, yeni bir tane kullanın. Daha güvenlidir ve yedeklenmeyen çirkin hatayı kurtarmak için eski yardıma ihtiyacın var ve ne olduğunu öğrenmek için adli tıp yapmalısın.
  4. Kurtarmak. Müşterilerinizi çevrimiçi hale getirmek için gerekenleri yükleyin ve yedekleri kurtarın.
  5. Takip et. Sorunun ne olduğunu anlayın ve tekrar olmasını önleyin.

64
2018-01-02 21:49





Robert'in "acı hap" cevabı spot-on ama tamamen jenerik (sorunuz, iyi oldu). Bir yönetim sorununuz varsa ve bir sunucu ve 600 istemciniz varsa, tam zamanlı bir sysadmin'e ihtiyaç duyuyorsanız, bu size yardımcı olmuyor.

Bu durumda el ele tutuşumu sağlayan bir hosting şirketi işletiyorum, bu yüzden bir çok tehlikeye giren makineyle uğraşıyorum, ama aynı zamanda kendi başımıza en iyi uygulamaları ele alıyorum. Her zaman bir uzlaşma niteliğinden emin olmadıkları sürece, uzlaşmalı müşterilerimize yeniden inşa etmelerini söyleriz. Uzun vadede başka bir sorumlu rota yoktur.

Ancak, neredeyse kesinlikle sadece DoS saldırıları için bir fırlatma rampası veya IRC fedaileri isteyen ya da müşterilerinizin siteleri ve verileriyle tamamen ilgisi olmayan bir senaryo çocuğu kurbanı oldunuz. Bu nedenle, yeniden oluştururken geçici bir önlem olarak, kutunuza ağır bir giden güvenlik duvarı getirmeyi düşünebilirsiniz. Eğer siteleri çalışması için kesinlikle gerekli olmayan tüm giden UDP ve TCP bağlantılarını engelleyebilirsiniz, kolayca senden ödünç her kim için tehlikeye kutu yararsız yapmak ve sıfıra sağlayıcınızın şebekesi üzerindeki etkisini azaltabilir.

Daha önce yapmadıysanız ve bir güvenlik duvarı düşünmediyseniz bu işlem birkaç saat sürebilir, ancak müşterilerinizin hizmetini geri yüklemenize yardımcı olabilir saldırganın müşterilerin verilerinize erişmesine devam etme riskine karşı. Tek bir makinede yüzlerce müşteriniz olduğunu söylediğinizden, küçük işletmeler için küçük broşür web sitelerine ev sahipliği yaptığınızı ve kredi kartı numaralarıyla dolu 600 e-ticaret sisteminin olmadığını tahmin ediyorum. Bu durumda, bu sizin için kabul edilebilir bir risk olabilir ve sisteminizi güvenlik hataları için 600 siteyi denetlemekten daha hızlı bir şekilde geri alabilirsiniz. önce Bir şey geri getirirsin. Ama hangi verilerin olduğunu ve bu kararı ne kadar rahat edeceğinizi biliyor olacaksınız.

Bu kesinlikle en iyi uygulama değil, ama eğer işvereniniz şu ana kadar gerçekleşiyorsa, parmağınızı onlara doğru sallayın ve bir SWAT takımı için hissedebileceği bir şey için on binlerce sterlin istemek sizin suçunuzdur (ancak gerekçesizdir! ) pratik seçenek gibi gelmiyor.

ISS'nizin buradaki yardımları oldukça önemli olacak - bazı İSS'ler bir konsol sunucusu ve ağ önyükleme ortamı sağlamak (fiş, ama en azından ne tür bir tesis için bakacağınızı biliyorsunuz), ağdan bağlantı kesilirken sunucuyu yönetmenize izin verir. Eğer bu bir seçenekse, isteyin ve kullanın.

Ancak uzun vadede, Robert'in gönderisine ve her sitenin ve kurulumunun bir denetimine dayanan bir sistemin yeniden yapılandırılmasını planlamanız gerekir. Ekibinize eklenmiş bir sysadmin alamıyorsanız yönetilen barındırma ISS'nize para yardımı yardımında bulunduğunuz ve bu tür bir şey için 24 saat yanıt verdiğiniz bir anlaşma. İyi şanslar :)


49
2018-01-03 13:48





Yeniden yüklemeniz gerekiyor. Gerçekten ihtiyacın olanı kurtar. Ancak tüm çalıştırılabilir dosyalarınızın virüs bulaşmış ve kurcalanmış olabileceğini unutmayın. Python'da aşağıdakileri yazdım: http://frw.se/monty.py Belirli bir dizinde tüm dosyalarınızın MD5-özetlerini oluşturan ve bir sonraki çalıştırdığınızda, herhangi bir şey değişip değişmediğini kontrol eder ve daha sonra hangi dosyaların değiştiğini ve dosyalarda ne değiştiğini gösterir.

Tuhaf dosyaların düzenli olarak değiştirilip değiştirilmediğini görmek sizin için kullanışlı olabilir.

Ama şimdi yapmanız gereken tek şey, bilgisayarınızı internetten çıkarmaktır.


38
2018-05-08 08:02



Yani ... tripwire uyguladınız. - womble♦
Evet, bununla ilgili bir sorun mu var? - Filip Ekberg
Çıkarmak için +1, analiz edin (üzerinde gerçek adli tıp yapacak birini bulun) ve silin - Oskar Duveborn
Anonim bir Python senaryosu ile belgelenmiş, (biraz) desteklenmiş, iyi anlaşılmış bir standart çözüm arasındaki seçim göz önüne alındığında, ilkini seçeceklerini umuyorsunuz? - tripleee


NOT: Bu bir tavsiye değil. Benim özel Olay Tepkisi protokol Muhtemelen olmaz Grant unwin'in vakasına değiştirilmemiş olarak uygulanmaz.

Akademik tesislerimizde sadece hesaplama yapan yaklaşık 300 araştırmacı var. Web sitelerinizde 600 müşteriniz var, bu nedenle protokolünüz muhtemelen farklı olacaktır.

Bizim ilk adımlar Bir Sunucu Güvenliği Aşan Protokol Aldığında geçerli:

  1. Saldırganın root kazanabildiğini tespit edin (yükseltilmiş ayrıcalıklar)
  2. Etkilenen sunucuyu / fişleri çıkarın. Ağ mı, güç mü? Bakınız ayrı bir tartışma.
  3. Diğer tüm sistemleri kontrol et
  4. Etkilenen sunucuları canlı bir CD'den önyükleme
  5. (isteğe bağlı) Tüm sistem sürücülerinin görüntülerini yakalayın dd
  6. Post-mortem adli tıpı yapmaya başla. Günlüklere bakın, saldırının zamanını hesaplayın, o saatte değiştirilen dosyaları bulun. Cevap vermeye çalışın Nasıl? soru.

    • Paralel olarak, iyileşmenizi planlayın ve uygulayın.
    • Hizmeti devam ettirmeden önce tüm kök ve kullanıcı şifrelerini sıfırlayın

"Tüm arka kapılar ve kök setleri temizlenmiş" olsa bile, bu sisteme güvenmeyin - sıfırdan yeniden yükleyin.


34
2018-05-18 22:36



-1 Sunucuyu güç kaynağından çıkarın mı? Adli verilerinizin yarısını kaybettiniz! - Josh Brower
@Josh, cevabımı ayarladım - Şimdi Ne Çıkarmak için soru üzerine nötr. - Aleksandr Levchuk
RAM adli tıp (ör. / Dev / shm) yardımcı olabilir. Güç kablosunu çıkarmayı tercih ediyorum (ancak giriş yapmayı deneyin ve rsync / proc önce doğru). Sık sık VM anlık görüntülerini de ekleyebiliriz, böylece RAM adli tıpı mümkün olacaktır. Güç kablosuna gitme nedenleri şunlardır: (1) Saldırıya uğramış bir sistemde adli tıp yaptığınızda, "suç mahalline adım atıyorsunuz"; (2) Kök kit çalışmaya devam eder - kötü amaçlı yazılımın bir şeyi (örneğin sistem silme) yürütmesi çok zor değildir. Ağ Bağlantısı Aşağı Etkinlik. Kyle Rankin, Adli Tıp konusuna hoş bir giriş yaptı (goo.gl/g21Ok) güç kablosunun çekilmesi önerilir. - Aleksandr Levchuk
Tüm IR protokolüne uyan tek bir beden yoktur - Bazı yayın organları, herhangi bir sebepten dolayı, güvenliği ihlal edilmiş olan sistemi bir süre daha çevrimiçi tutmaya ihtiyaç duyabilir. (RAM ve geçici oturum açma adlandırma, davetsiz misafirlerle etkileşimde bulunma, vb.) Benim açımdan, "Yukarıda belirtilen Jakob Borgs gibi" yerine genel bir IR protokolü önermek daha iyi olacaktır. " - Josh Brower


Sınırlı tecrübemde, Linux'ta sistemden taviz vermek, Windows'takinden daha 'kapsamlı' olma eğilimindedir. Kök kitleri, kötü amaçlı yazılımları gizlemek için sistem kodlarının özelleştirilmiş kodlarla değiştirilmesi olasılığının daha yüksek olduğunu ve çekirdeğin sıcak düzeltme ekinin engelinin biraz daha düşük olduğunu görüyoruz. Ayrıca, birçok kötü amaçlı yazılım yazarı için ev işletim sistemi. Genel rehber, her zaman etkilenen sunucuyu sıfırdan yeniden oluşturmaktır ve bir nedenden ötürü genel bir kılavuzdur.

Bu yavruyu biçimlendir.

Ancak, eğer yeniden inşa edemezseniz (veya güçler, buna ihtiyaç duyduğun muazzam ısrarınıza karşı yeniden inşa etmenize izin vermez), neye bakarsınız?

İzinsiz girişin keşfedilmesinden bu yana bir süre geçtiği ve bir sistem geri yüklemesinin yapıldığı anlaşıldığı için, hizmetin geri kazanılması için damgaların içinde nasıl geçtiğinin izleri büyük olasılıkla kapandı. Talihsiz.

Olağandışı ağ trafiği muhtemelen en kolay olanıdır, çünkü kutuda herhangi bir şey çalıştırmayı gerektirmez ve sunucu hazırken ve her ne yapıyorsa yapılabilir. Tabii ki, ağ donanımınız elbette port-spanning sağlar. Bulduğunuz şey teşhis olabilir ya da olmayabilir, ancak en azından bilgi. Olağandışı trafiğin elde edilmesi, sistemin hala tehlikede olduğunu ve düzleşmeye ihtiyaç duyduğuna dair güçlü kanıtlar olacaktır. TPTB'yi bir reformatın gerçekten, gerçekte kesintiye değer olduğuna inandırmak için yeterince iyi olabilir.

Başarısız olursa, sistem bölümlerinizin bir kopyasını alın ve başka bir kutuya yerleştirin. İçeriği, bir sunucuyla aynı yama düzeyinde, ele geçirilmiş olanla karşılaştırmaya başlayın. Neyin farklı göründüğünü (md5sum'ları tekrar) tanımlamanıza yardımcı olur ve güvenliği bozulmuş sunucuda gözden kaçan alanlara işaret edebilir. Bu, dizinler ve ikili dosyalar arasında bir sürü yer alıyor ve oldukça emek yoğun olacak. Yeniden biçimlendirmenin / yeniden yapılanmanın olabileceğinden daha fazla emek yoğun olabilir ve TPTB'ye gerçekten ihtiyaç duyduğu reformu gerçekte yapmaktan başka bir şey olabilir.


28
2018-01-03 14:31



'Bu yavruyu biçimlendir.' - +1, adaçayı önerisi. Ayrıca bakınız: "Nükleer yörüngeden alın, emin olmanın tek yolu budur." - Avery Payne