ハッキングされたサーバーがハッキングされた方法を見つける

私はちょうどサイトを閲覧していて、この質問を見つけました：私のサーバーは非常にハッキングされました。基本的に質問は次のとおりです。私のサーバーがハッキングされました。私は何をすべきか？

最良の答えは優れているが、それは私の心の中でいくつかの質問を提起しました。推奨される手順の1つは次のとおりです。

「攻撃された」システムを調べて、攻撃がセキュリティの侵害に成功した方法を理解します。攻撃が「どこから来たのか」を見つけるためにあらゆる努力を払ってください。そうすれば、あなたが抱えている問題を理解し、将来システムを安全にするために対処する必要があります。

私はシステム管理者の仕事をしていないので、私はこれをどのように始めるかわかりません。最初のステップは何ですか？サーバーのログファイルを確認できることは知っていますが、攻撃者として最初に行うことはログファイルを消去することです。 攻撃の成功方法をどのように「理解」しますか？

私はあなたが持っている場合は、これを言ってから始めましょうNO LOG FILESを、そしてあなたがすることを合理的に良いチャンスがある絶対にどこかの攻撃が成功したかを理解しないで。完全で適切なログファイルを使用しても、誰が、何を、どこで、いつ、なぜ、どのように完全に理解するのは非常に困難です。

そのため、ログファイルの重要性を知った上で、ログファイルを安全に保管する必要があることを理解し始めます。企業がセキュリティ情報およびイベント管理または略してSIEMに投資する必要があるのは、このためです。

簡単に言えば、すべてのログファイルを特定のイベント（時間ベースまたはその他）に関連付けることは、非常に困難な作業です。信じられない場合は、デバッグモードでファイアウォールのsyslogを見てください。そして、それはただ一つのアプライアンスからです！SIEMプロセスは、これらのログファイルを一連の論理イベントに入れます。

方法についての理解を深めるには、侵入方法論を研究することが役立ちます。

また、ウイルスがどのように記述されているかを知ることも役立ちます。またはルートキットの書き方。

ハニーポットをセットアップして研究することも非常に有益です。

また、ログパーサーを使用して熟練することも役立ちます。

ネットワークとシステムのベースラインを収集すると役立ちます。あなたの状況における「正常な」トラフィックと「異常な」トラフィックとは何ですか？

CERTには、コンピューターがハッキングされた後の対処方法に関する優れたガイドがあります。最も顕著なのは（特定の質問に直接関係する）「侵入の分析」のセクションです。

• システムソフトウェアと構成ファイルに加えられた変更を探す
• データの変更を探す
• 侵入者によって残されたツールとデータを探します
• ログファイルを確認する
• ネットワークスニファーの兆候を探す
• ネットワーク上の他のシステムを確認する
• リモートサイトに関与または影響を受けるシステムを確認する

SFで尋ねられたあなたに似た多くの質問があります：

1. サーバーハックの事後分析を行う方法
2. HostsファイルとNetstatの奇妙なアイテム
3. これはハッキングの試みですか？
4. ハッキングやセキュリティの観点からLinuxを学ぶにはどうすればよいですか

これは非常に複雑で複雑なプロセスになる可能性があります。私を含め、ほとんどの人は、私のSIEMアプライアンスを組み立てることができる以上に関与した場合、コンサルタントを雇うだけです。

そして、明らかに、システムがどのようにハッキングされたかを完全に理解したい場合、何年 もかけてシステムを研究し、女性をあきらめなければなりません。

その少しに対する答えは、100万マイルの幅と高さになる可能性があり、ハッキングされたサーバーに何が起こったのかを明らかにすることは、他のものと同じくらいほとんどアートフォームになる可能性があるため、ここでも明確なセットではなく出発点と例を示します従うべきステップの数。

心に留めておくべきことの1つは、侵入に直面した場合、コード、システム管理/構成、および手順に間違いなく弱点があることを認識して監査できることです。それは、そこにあるかもしれないし、そうでないかもしれない理論的な弱点を探すよりも、やる気を高めるのに役立ちます。時間があれば、コードが少し難しくなる可能性があることを知りながら、多くの場合、人々はオンラインで情報を提供します。または、システムがそれほど不便でなければ、システムはもう少ししっかりとロックダウンしました。または上司が長いパスワードを覚えるのがそれほど面倒ではなかった場合にのみ、手順が少し厳しくなりました。私たちは皆、最も可能性の高い弱点がどこにあるかを知っているので、それらから始めてください。

理想的な世界では、サーバーからだけでなく、トラフィックも記録するファイアウォール、ルーターなどからの別の（できれば侵害されていない）syslogサーバーにログを保存します。システムを分析して弱点を探すことができるNessusなどのツールもあります。

サードパーティのソフトウェア/フレームワークの場合、展開を監査するために使用できるベストプラクティスガイドがよくあります。または、セキュリティニュースとパッチのスケジュールにもっと注意を払い、使用された可能性のあるいくつかのホールを発見するかもしれません。

最後に、あなたがそれを見つける時間と忍耐があるなら、ほとんどの侵入は貧しい人々を残します。ハッキングツールキットを使用した「ドライブバイ」スクリプトによる子供の侵入または侵入は、一般的な弱点に焦点を当てる傾向があり、正しい方向を示すパターンを残す可能性があります。分析するのが最も難しいのは、手動による侵入（たとえば、「a」のWebサイトをハッキングしたくないが、代わりに「your」のWebサイトを具体的にハックしたい人）であり、もちろんこれらは理解する最も重要なものです。

どこから始めればよいかわからない人（または他の職務を持つ経験豊富な人でも）にとっての最初のステップは、おそらく上記のステップの経験が豊富な人を雇うことです。このアプローチのもう1つの利点は、先入観や回答への個人的な利害関係なしに彼らがあなたのセットアップを見ていることです。

「サーバーのログファイルを確認できることはわかっていますが、攻撃者として最初に行うことは、ログファイルを消去することです。」

侵害の種類によっては、攻撃者は侵害されたサーバーでログを消去できるほど高い権限を持っていない場合があります。改ざんを防ぐために、サーバーログを別のサーバーにオフボックスにしておくこともベストプラクティスです（特定の間隔で自動的にエクスポートされます）。

侵害されたサーバーログ以外にも、ネットワークログ（ファイアウォール、ルーターなど）とディレクトリサービスからの認証ログ（Active Directory、RADIUS、ectなど）がある場合

そのため、ログを確認することは、依然として最良の方法の1つです。

侵害されたボックスに対処する場合、ログをふるいにかけることは常に、起こったことをつなぎ合わせる私の主要な方法の1つです。

-ジョシュ