ハッキング後のlinux boxのフォレンジック分析を行う主な手順は何ですか?


15

ハッキング後のlinux boxのフォレンジック分析を行う主な手順は何ですか?

汎用のLinuxサーバーmail / web / database / ftp / ssh / sambaだとしましょう。そして、他のシステムをスキャンし、スパムを送信し始めました。

回答:


11

再起動する前に試すことがいくつかあります。

まず、セキュリティが侵害されていると思われる場合は、ネットワークケーブルを取り外して、マシンがそれ以上損傷しないようにします。

その後、可能であれば、再起動することで侵入者の痕跡を削除できるため、再起動を控えてください。

事前に考えて、リモートロギングを設定している場合は、マシンのログではなくリモートログを使用してください。誰かがマシンのログを改ざんするのは簡単すぎるためです。ただし、リモートログがない場合は、ローカルログを徹底的に調べてください。

これは再起動時にも置き換えられるため、dmesgを確認してください。

Linuxでは、実行中のファイルが削除された後でも、実行中のプログラムを持つことができます。コマンドファイル/ proc / [0-9] * / exe | grep "(deleted)"でこれらを確認します。(もちろん、これらは再起動時に消えます)。実行中のプログラムのコピーをディスクに保存する場合は、/ bin / dd if = / proc / filename / exe of = filenameを使用します

who / ps / ls / netstatの適切なコピーわかっいる場合は、これらのツールを使用して、ボックスで何が行われているかを調べます。ルートキットがインストールされている場合、これらのユーティリティは通常、正確な情報を提供しないコピーに置き換えられることに注意してください。


問題は、ps / ls / ...のコピーが適切かどうかを確認する方法です。md5sumを確認することもできますが、md5sumも同様に置き換えられている可能性があります。
アマリリオン2009年

2
これらの重要なファイル(およびmd5sum)の2番目のコピーを、すべてのシステム上のオリジナルのmd5sumと一緒に保管します。その後、nagiosに1時間ごとにmd5sumの一致を手動で確認させます。
ブレント

8

それは完全にハッキングされたものに依存しますが、一般的には、

不適切に変更されたファイルのタイムスタンプを確認し、成功したssh(/ var / log / auth *内)とftp(vsftpをサーバーとして使用している場合は/ var / log / vsftp *内)で相互参照します。侵害されたアカウントと攻撃元のIPを確認します。

同じアカウントで多くのログイン試行が失敗した場合、そのアカウントがブルートフォースされているかどうかを確認できます。そのアカウントのログイン試行に失敗したか、ほんの数回しか失敗しなかった場合、おそらくパスワードは他の方法で発見されたため、そのアカウントの所有者はパスワードの安全性についての講義を必要とします。

IPが近くのどこかからである場合、「内部ジョブ」である可能性があります

ルートアカウントが侵害された場合、もちろん大きな問題が発生します。可能な場合は、ボックスを最初から再フォーマットして再構築します。もちろん、とにかくすべてのパスワードを変更する必要があります。


2

実行中のアプリケーションのすべてのログを確認する必要があります。たとえば、Apacheログは、ハッカーがシステムで任意のコマンドを実行する方法を示している場合があります。

また、サーバーをスキャンしたりスパムを送信したりする実行中のプロセスがあるかどうかも確認してください。その場合、実行元のUnixユーザーは、ボックスがどのようにハッキングされたかを伝えることができます。www-dataの場合、Apacheなどであることがわかります。

時々いくつかのようなプログラムpsが置き換えられることに注意してください...


1

ああ!

シャットダウンして、ハードディスクを読み取り専用インターフェイスに接続する必要があります(特別なIDEまたはSATA、またはUSBなどのインターフェイスで、書き込みを許可しないインターフェイスは次のようになります:http://www.forensic- computers.com/handBridges.php)とDDで正確なだましを行います。

別のハードドライブに対して実行することも、ディスクイメージに対して実行することもできます。

それから、ハードディスクを改ざんのない元の証拠である、完全に安全な場所に保管してください!

後で、そのクローンディスクまたはイメージをフォレンジックコンピューターに接続できます。ディスクの場合は、読み取り専用インターフェイスを介して接続する必要があります。イメージを使用する場合は、「読み取り専用」でマウントします。

その後、データを変更せずに何度も何度も作業できます...

参考までに、練習用にインターネット上に「ハッキングされた」システムイメージがあるため、「自宅で」フォレンジックを行うことができます...

PS:ハッキングされたシステムがダウンしたのはどうですか?システムが危険にさらされていると思う場合は、接続したままにしないで、そこに新しいハードディスクを置き、フォレンジックが終了するまでバックアップを復元するか、または新しいサーバーを運用します...



0

最初に「なぜ?」と自問するべきです。

私にとって意味のある理由は次のとおりです。

  • 被害を評価する
  • 彼らがどうやって入ったのかを理解する
  • 社内の仕事かどうかを判断する

多くの場合、それを超えると意味がありません。警察はしばしば気にかけず、もしそうなら、彼らはあなたのハードウェアを押収し、彼ら自身の法医学分析を行います。

あなたが見つけたことに応じて、あなたはあなたの人生をたくさん楽にすることができるかもしれません。SMTPリレーが危険にさらされ、それが外部のパーティによって悪用されたパッチの欠落によるものであると判断した場合、完了です。ボックスを再インストールし、パッチ適用が必要なものにパッチを適用して先に進みます。

多くの場合、「フォレンジック」という言葉が出てくると、人々はCSIのビジョンを持ち、何が起こったのかについてのあらゆる種類の耐え難い詳細を理解することを考えます。それは可能ですが、必要がない場合は大きなリフトにしないでください。


調査するのは私の雇用主の方針です。
カジミエラスアリウリス2009年

システム管理者の観点から、法医学は非難や法的問題ではなく、パッチの適用とセキュリティの向上に関するものです
ブレント

0

私は他の回答を読んだことがありませんが、証拠を保存して画像のみを調べるためにゴースト画像を作成します。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.