it-swarm-es.com

Si sospecho que mi servidor está comprometido, ¿debería desconectarlo inmediatamente o no? ¿De energía o red?

Según Mandiant, no debes:

Error n. ° 1: ingresar inmediatamente al "modo de remediación", también conocido como jugar "Whack-A-Mole"
... como se describe aquí: http://blog.mandiant.com/archives/1525

¿Hay situaciones en las que sea prudente tomar medidas inmediatas desconectando?

Fusionada con esta pregunta ya que las respuestas deberían ser útiles y similares:

Cuando un servidor se arraiga (por ejemplo, una situación como esta), una de las primeras cosas que puede decidir hacer es la contención. Algunos especialistas en seguridad aconsejan no iniciar la reparación de inmediato y mantener el servidor en línea hasta que se completen los análisis forenses. Estos avisos suelen ser para APT. Es diferente si tiene infracciones ocasionales de Script para niños, por lo que puede decidir remediar (arreglar las cosas) temprano. Uno de los pasos de la corrección es la contención del servidor. Citando la respuesta de Robert Moir: "desconecta a la víctima de sus asaltantes".

Se puede contener un servidor tirando del cable de red o del cable de alimentación.

¿Qué método es mejor?

Teniendo en cuenta la necesidad de:

  1. Proteger a las víctimas de daños mayores
  2. Ejecución de análisis forenses exitosos
  3. (Posiblemente) Protección de datos valiosos en el servidor

Editar: 5 suposiciones

Asumiendo:

  1. Detectaste temprano: 24 horas.
  2. Desea recuperarse temprano: 3 días de 1 administrador de sistemas en el trabajo (análisis forense y recuperación).
  3. El servidor no es una máquina virtual ni un contenedor capaz de tomar una instantánea capturando el contenido de la memoria del servidor.
  4. Decide no intentar enjuiciar.
  5. Sospecha que el atacante puede estar usando algún tipo de software (posiblemente sofisticado) y este software todavía se está ejecutando en el servidor.
9
Tate Hansen

Similar a lo que dijo @AviD: si de alguna manera puede determinar que esta aplicación/Host/red comprometida está activamente en progreso con otro ataque, sería prudente al menos tirar del cable de red, ¿verdad? Esto también supone que no puede controlar el ataque de alguna otra manera, o que las cosas se han salido extremadamente de control.

Esto probablemente excluye cualquier proceso o infraestructura, y también requiere personal poco calificado o poco intelectual.

Sabes que es hora de aficionados cuando desconectan la energía, la red o los discos de una máquina comprometida.

6
atdre

La respuesta depende de su nivel de sofisticación, el nivel de sofisticación del atacante y sus objetivos.

La publicación del blog de Mandiant, de uno de los principales proveedores de servicios forenses informáticos y de respuesta a incidentes, está destinada a organizaciones sofisticadas que responden a una amenaza persistente avanzada (APT). Una de sus preocupaciones es que es posible que ni siquiera resuelva el problema si no puede observar a los atacantes trabajar en varios sistemas de su red.

Pero la mayoría de los incidentes de seguridad son ataques menos sofisticados en máquinas mal administradas. En este caso, creo que es mejor que siga el consejo de la respuesta altamente calificada a la pregunta de falla del servidor " Mi servidor ha sido pirateado EMERGENCIA ", lo que sugiere que desconectar el servidor es, de hecho, la primera respuesta. , aunque no debes actuar con prisa.

9
nealmcb

Respuesta útil sobre aquí por Robert Moir - muy buena charla en Serverfault sobre esto.

3
Rory Alsop

Estoy totalmente de acuerdo con nealmcb.

  1. Si se enfrenta a un "APT" y desea investigar el servidor comprometido, puede dejar el servidor comprometido y analizar el tráfico de red que va desde/hacia su servidor. Esto necesita tiempo para investigar y el hacker seguirá explorando su infraestructura de TI ...

  2. El sentido común es desconectar el servidor de inmediato para evitar el uso no autorizado de su infraestructura.

Mi consejo sería desconectar el servidor a menos que tenga mucho tiempo para los forenses.

1
user933

Sí, si detecta un ataque activo actualmente en curso, y su mecanismo de detección le asegura que el atacante aún no ha "pwned" su sistema, o logrado su objetivo.

Tenga en cuenta que esto solo puede ser relevante si cuenta con mecanismos de detección sólidos y muy inteligentes, con correlación en línea y notificaciones activas.

1
AviD

Los análisis forenses de RAM (por ejemplo,/dev/shm) pueden resultar útiles.

Pero prefiero desconectar el cable de alimentación (pero intente iniciar sesión y rsync/proc justo antes).

Las razones para optar por el cable de alimentación son:

  1. Cuando haces análisis forense en un sistema pirateado, estás "recorriendo toda la escena del crimen".
  2. El kit raíz sigue ejecutándose, no es tan difícil para los maliciosos ejecutar algo (por ejemplo, eliminación del sistema) en el evento Network Link Down .

Kyle Rankin dio una agradable Introducción a la ciencia forense charla - allí recomienda tirar del cable de alimentación.

1

Depende.

El blog de Mandiant se centra en la APT. Si esa es su principal preocupación, sus consejos pueden ser valiosos.

Sin embargo, también hay muchas organizaciones en las que APT probablemente no sea la principal preocupación, y para esas organizaciones, puede ser razonable desconectar el acceso a la red a una máquina comprometida tan pronto como detecte un compromiso).

Por ejemplo, en una organización que conozco bien, la seguridad es, razonablemente, una prioridad relativamente baja. No hay forma de que hagan una investigación forense en cada máquina que se ha visto comprometida. Posiblemente no podrían pagarlo; y probablemente también sería demasiado perturbador. Si sabe que no va a realizar una investigación forense en cada máquina comprometida, hay pocas razones para retrasar la desconexión. Del mismo modo, no son un objetivo probable para las APT; en su mayor parte, no tienen datos de valor suficiente. Su principal desafío es la penetración rutinaria diaria de "script-kiddy" en las máquinas administradas por el usuario.

1
D.W.