it-swarm-es.com

¿Cuáles son los principales pasos que hacen el análisis forense de la caja de Linux después de que fue hackeado?

¿Cuáles son los principales pasos que hacen el análisis forense de la caja de Linux después de que fue hackeado?

Diga que es un correo genérico de Linux Server/Web/Database/FTP/SSH/SAMBA. Y comenzó a enviar spam, escaneando otros sistemas. ¿Cómo comenzar a buscar formas en que se realizó un hack? ¿Qué es responsable?

15
Kazimieras Aliulis

Eso depende totalmente de lo que fue hackeado, pero en general,

Verifique las marcas de tiempo de los archivos que se modificaron de manera inadecuada y referir a los tiempos con éxito ssh (in/var/log/auth *) y ftp (in/var/log/vsftp * Si está utilizando VSFTP como servidor) para Averigüe qué Cuenta se comprometió y desde la cual vino el ataque.

Probablemente puede averiguar si la cuenta fue forzada a Brute si hubiera muchos intentos de inicio de sesión fallidos en la misma cuenta. Si no hubo o solo algunos intentos de inicio de sesión fallidos para esa cuenta, probablemente la contraseña se descubrió de alguna otra manera y el propietario de esa cuenta necesita una conferencia en la seguridad de la contraseña.

Si la IP está desde algún lugar cercano, podría ser un "trabajo interior"

Si la cuenta raíz estaba comprometida, por supuesto, estás en un gran problema, y ​​lo haría, si es posible, reformatear y reconstruir la caja de la base. Por supuesto, debe cambiar todas las contraseñas de todos modos.

8
amarillion

Tienes que revisar todos los registros de las aplicaciones en ejecución. Por ejemplo, los registros de Apache pueden decirle cómo un hacker podría ejecutar comandos arbitrarios en su sistema.

También verifique si tiene procesos ejecutados que analizan servidores o envían spam. Si es así, el usuario de Unix en el que se está ejecutando puede decirle cómo fue hackeado su caja. Si son datos www, entonces usted sabe que es apache, etc.

Tenga en cuenta que a veces algunos programas como ps son reemplazados ...

2
Julien Tartarin

¡Naaah!

Debe apagarlo, conecte el disco duro a una interfaz de solo lectura (es un especial IDE o SATA, o USB, etc. Interfaz que no permite ninguna escritura, algo como este : http://www.forensic-computers.com/handbridges.php ) y haga un DUPE exacto con DD.

Puede hacerlo a otro disco duro, o puede hacerlo a una imagen de disco.

Luego, almacene en un lugar más seguro y totalmente seguro que el disco duro, es la prueba original sin manipular.

Más tarde, puede enchufar ese disco clonado o la imagen en su computadora forense. Si es un disco, debe conectarlo a través de una interfaz de solo lectura, y si va a trabajar con una imagen, monte "solo lectura".

Luego, puede trabajar en él, una y otra vez sin cambiar los datos ...

FYI, hay imágenes de sistemas "hackeados" en Internet para la práctica, para que pueda hacer los antecedentes "en casa" ...

PD: ¿Qué pasa con el sistema hackeado derribado? Si creo que ese sistema está comprometido, no lo dejaría conectado, pondría un nuevo disco duro y restauraría una copia de seguridad o poner un nuevo servidor en producción hasta que el acabado forense ...

1
Andor

Recomiendo encarecidamente la lectura " Máquinas muertas de Linux, le digan los cuentos ", un artículo del Instituto SANS. Es de 2003, pero la información sigue siendo valiosa hoy.

0
andrewd18

Deberías preguntarte primero: "¿Por qué?"

Aquí están algunas razones que tienen sentido para mí:

  • Evaluar el daño
  • Figura cómo entraron
  • Determinar si fue un trabajo interno

Ir más allá de eso a menudo no tiene sentido. A menudo, la policía no le importa, y si lo hicieron, abundarían su hardware y harían su propio análisis forense.

Dependiendo de lo que lo descubras, es posible que pueda hacer que su vida sea más fácil. Si un relé SMTP se compromete, y usted determina que se debió a un parche perdido explotado por una parte externa, ya está listo. Vuelva a instalar la casilla, parche lo que sea necesario y siga adelante.

A menudo, cuando se cría la palabra "forense", las personas tienen visiones de CSI y piensan en averiguar todo tipo de detalles insoportables sobre lo que sucedió. Puede ser eso, pero no lo convierte en un gran ascensor si no tiene que hacerlo.

0
duffbeer703

No he podido leer las otras respuestas, pero lo haría una imagen fantasma para preservar la evidencia y solo examinaría la imagen ... Tal vez ...

0
cop1152