سؤال كيف أتعامل مع خادم مخترق؟


هذا ال السؤال الكنسي حول أمان الخادم - الاستجابة لأحداث الاختراق (القرصنة)
  أنظر أيضا:

النسخة الموحدة
أظن أن واحدًا أو أكثر من خوادمي قد تعرض للاختراق من قِبل هاكر أو فيروس أو آلية أخرى:

  • ما هي خطواتي الأولى؟ عند وصولي في الموقع ، هل يجب علي فصل الخادم ، والحفاظ على "الأدلة" ، هل هناك اعتبارات أولية أخرى؟
  • كيف أذهب للحصول على الخدمات عبر الإنترنت؟
  • كيف أمنع حدوث الشيء نفسه فورًا؟
  • هل هناك أفضل الممارسات أو المنهجيات للتعلم من هذا الحادث؟
  • إذا كنت أرغب في وضع خطة الاستجابة للحوادث معًا ، أين أبدأ؟ هل يجب أن يكون هذا جزءًا من "استرداد البيانات عند الطوارئ" أو "التخطيط لاستمرارية الأعمال"؟

نسخة أصلية 

2011/01/02 - أنا في طريقي إلى العمل في الساعة 9:30 مساءً. يوم الأحد لأن الخادم الخاص بنا قد تم اختراقه بطريقة ما وكان ينتج عنه    DOS الهجوم على مزود لدينا. الخوادم الوصول إلى الإنترنت   تم إغلاقها مما يعني أن أكثر من 5-600 من مواقع عملائنا هي الآن   أسفل. الآن قد يكون هذا اختراق بروتوكول نقل الملفات ، أو بعض الضعف في الكود   مكان ما. لست متأكدا حتى أصل إلى هناك.

كيف يمكنني تتبع هذا بسرعة؟ نحن في لجزء كبير من   التقاضي إذا لم أحصل على خادم النسخ الاحتياطي في اسرع وقت ممكن. أي مساعدة هي   محل تقدير. نحن ندير Open SUSE 11.0.


2011/01/03 - شكرا للجميع على المساعدة. لحسن الحظ لم أكن الشخص الوحيد المسؤول عن هذا الخادم ، فقط أقرب. لقد نظمنا   لحل هذه المشكلة ، على الرغم من أنها قد لا تنطبق على العديد من الآخرين في   الوضع مختلف. سأفصّل ما فعلناه.

نحن موصول الخادم من الشبكة. كان يؤدي (محاولة ل   أداء) هجوم رفض الخدمة على خادم آخر في إندونيسيا ،   واستند أيضا الطرف المذنب هناك.

حاولنا أولاً تحديد المكان الذي يأتي منه الخادم ،   بالنظر إلى وجود أكثر من 500 موقع على الخادم ، كنا نتوقع أن يكون   العمل الإضافي لبعض الوقت. ومع ذلك ، مع وصول SSH لا يزال ، ركضنا   الأمر للعثور على جميع الملفات المحررة أو التي تم إنشاؤها في وقت الهجمات   بدأت. لحسن الحظ ، تم إنشاء الملف المخالف خلال فصل الشتاء   الاعياد مما يعني أنه لم يتم إنشاء العديد من الملفات الأخرى على   الخادم في ذلك الوقت.

كنا بعد ذلك قادرين على تحديد الملف المخالف الذي كان داخل   مجلد الصور المحملة داخل ZenCart موقع الكتروني.

بعد استراحة قصيرة للسيجارة ، استنتجنا أنه بسبب الملفات   الموقع ، يجب أن يكون قد تم تحميلها عبر مرفق تحميل الملفات ذلك   تم تأمينها بشكل غير ملائم. بعد بعض googling ، وجدنا أن هناك   ثغرة أمنية تسمح بتحميل الملفات ، داخل   لوحة إدارة ZenCart ، للحصول على صورة لشركة تسجيل. (القسم   لدرجة أنه لم يتم استخدامه أبدًا) ، نشر هذا النموذج فقط تم تحميله   الملف ، فإنه لم يتحقق من امتداد الملف ، ولم حتى   تحقق لمعرفة ما إذا كان المستخدم قد تم تسجيل الدخول.

هذا يعني أنه يمكن تحميل أي ملفات ، بما في ذلك ملف PHP   الهجوم. نحن تأمين الضعف مع ZenCart على المصابين   الموقع ، وإزالة الملفات المسيئة.

تم إنجاز المهمة ، وكنت في المنزل لمدة 2 صباحًا.


المعنوية   - قم دائماً بتطبيق تصحيحات الأمان لـ ZenCart ، أو أي نظام CMS آخر لهذه المسألة. كما هو الحال عندما يتم إصدار تحديثات الأمان ، كلها   يدرك العالم الضعف.   - قم دائمًا بعمل نسخ احتياطية ، وقم بالنسخ الاحتياطي للنسخ الاحتياطية.   - توظيف أو الترتيب لشخص ما سيكون هناك في مثل هذه الأوقات. لمنع أي شخص من الاعتماد على وظيفة panicy على الخادم   خطأ.


578
2018-01-02 21:31


الأصل


أعرف مدى شعورك - لقد كنا محظوظين للغاية مع المتسللين "المفيدين" في هذا الموقع ، حيث يخبروننا بما فعلوه! أتطلع إلى الحصول على إجابات رائعة على هذا السؤال ، في حال حصلنا على ضيوف "غير مساعدين" في المستقبل. - Jarrod Dixon♦
اتصل بمحترف لمساعدتك! - marcog
لا أريد أن أبدو أذكياء أو غير متعاطفين (أنا لست كذلك) ، وبالطبع أنا أجهل تفاصيل وضعك ، ولكن إذا كنت الشخص الوحيد المسؤول عن إعداد موقع 500-600 ، فقد يكون هناك يكون عيب أساسي في كيفية تشغيل هذا الخادم. بعض الشركات توظف مسؤول النظام الخاص الذي لا يفعل أي شيء آخر طوال اليوم ولكن الحفاظ على الخوادم - وهي مهمة ليس تلقائيا داخل نطاق المبرمج ، على الرغم من أنه قد يبدو بهذه الطريقة. ربما هذا شيء يستحق التفكير فيه عندما تنتهي الأزمة. على أي حال ، الآن ، حظا سعيدا في الحصول على حل الوضع في متناول اليد. - Pekka 웃
لا تفترض بالضرورة أن لديك مجموعة كاملة من نواة الجذر ، وأن كلمة مرور الجذر قد تعرضت للاختراق. انها ربما فقط bash مخادع / بيرل النصي ، وأنه من الممكن لتنظيفه دون تشكيل رغم ما يقرع كورال على نحو هنا ... serverfault.com/questions/639699/... - Hayden Thring


الأجوبة:


من الصعب تقديم نصيحة محددة من ما نشرته هنا ولكن لدي بعض النصائح العامة المستندة إلى منشور قمت بكتابته منذ زمن بعيد عندما كان لا يزال بإمكاني إزعاج المدونة.

لا داعي للقلق

أول الأشياء أولاً ، لا توجد "إصلاحات سريعة" بخلاف استعادة النظام الخاص بك من نسخة احتياطية تم التقاطها قبل التطفل ، ولديها مشكلتين على الأقل.

  1. من الصعب تحديد متى حدث التطفل.
  2. لا يساعدك إغلاق "الثقب" الذي سمح لهم بالاختراق في المرة الأخيرة ، ولا التعامل مع تبعات "سرقة البيانات" التي قد تكون حدثت أيضًا.

هذا السؤال يتم طرحه بشكل متكرر من قبل ضحايا المتسللين الذين يقتحمون خادم الويب الخاص بهم. ونادراً ما تتغير الإجابات ، لكن الناس يستمرون في طرح السؤال. لست متأكدا لماذا. ربما لا يعجب الأشخاص بالأجوبة التي رأوها عند البحث عن المساعدة ، أو لم يتمكنوا من العثور على شخص يثقون به لمنحهم النصيحة. أو ربما يقرأ الناس إجابة على هذا السؤال ويركزون كثيرًا على 5٪ من سبب كون قضيتهم خاصة ومختلفة عن الأجوبة التي يمكنهم العثور عليها عبر الإنترنت ويفوتون 95٪ من السؤال والإجابة حيث تكون قضيتهم قريبة بما يكفي كالذي يقرأونه على الإنترنت.

وهذا يقودني إلى أول معلومة هامة للمعلومات. أنا حقا نقدر أنك ندفة الثلج فريدة من نوعها. وأنا أقدر أن موقع الويب الخاص بك هو أيضا ، لأنه يعكس لك ولعملك أو على أقل تقدير ، عملك الشاق نيابة عن صاحب العمل. ولكن بالنسبة لشخص ينظر إلى الخارج ، سواء كان أحد أفراد أمن الكمبيوتر ينظر إلى المشكلة ليحاول مساعدتك أو حتى المهاجم نفسه ، فمن المرجح أن مشكلتك ستكون على الأقل 95٪ مطابقة لكل حالة أخرى. ينظر في أي وقت مضى.

لا تأخذ الهجوم شخصيا ، ولا تأخذ التوصيات التي تتبع هنا أو التي تحصل عليها من أشخاص آخرين شخصيا. إذا كنت تقرأ هذا بعد أن أصبحت مجرد ضحية لاختراق موقع الويب ، فأنا آسف حقًا ، وآمل حقًا أن تجد شيئًا مفيدًا هنا ، ولكن ليس هذا هو الوقت المناسب لترك الأنا لديك تعيق ما تحتاج إليه فعل.

لقد اكتشفت للتو أن خادمك (خوادمك) قد تعرض للاختراق. ماذا الآن؟

لا تصاب بالهلع. على الإطلاق لا تتصرف على عجل ، وبالتأكيد لا تحاول أن تتظاهر بأن الأمور لم تحدث ولم تتصرف على الإطلاق.

أولاً: فهم أن الكارثة قد حدثت بالفعل. هذا ليس وقت الرفض. لقد حان الوقت لقبول ما حدث ، أن نكون واقعيين حيال ذلك ، وأن نتخذ خطوات لإدارة عواقب التأثير.

بعض هذه الخطوات ستؤذي ، وما لم يكن موقع الويب الخاص بك يحمل نسخة من بياناتي ، فأنا لا أهتم إذا تجاهلت كل هذه الخطوات أو بعضها ، الأمر متروك لك. ولكن اتباعها بشكل صحيح سيجعل الأمور أفضل في النهاية. قد يكون طعم الدواء فظًا ولكن عليك في بعض الأحيان التغاضي عن ذلك إذا كنت تريد فعلًا العلاج.

أوقف المشكلة من أن تصبح أسوأ مما هي عليه بالفعل:

  1. أول شيء يجب عليك فعله هو فصل الأنظمة المتأثرة من الإنترنت. مهما كانت المشاكل الأخرى التي تواجهها ، فإن ترك النظام المتصل بالويب سيسمح فقط بمواصلة الهجوم. أعني هذا بكل معنى الكلمة. الحصول على شخص ما لزيارة الخادم فعليًا وفصل كابالت الشبكة إذا كان ذلك هو ما يتطلبه الأمر ، ولكن افصل الضحية عن مراقبيها قبل محاولة القيام بأي شيء آخر.
  2. قم بتغيير جميع كلمات المرور الخاصة بك لكافة الحسابات الموجودة على كافة أجهزة الكمبيوتر الموجودة على نفس الشبكة مثل الأنظمة التي تعرضت للاختراق. لا حقا. جميع الحسابات. جميع أجهزة الكمبيوتر. نعم ، أنت على حق ، هذا قد يكون مبالغة. من ناحية أخرى ، قد لا. أنت لا تعرف في أي من الاتجاهين ، أليس كذلك؟
  3. تحقق من أنظمتك الأخرى. انتبه بشكل خاص إلى الخدمات الأخرى التي تواجه الإنترنت ، وإلى تلك التي تحمل بيانات مالية أو غيرها من البيانات الحساسة تجاريًا.
  4. إذا احتفظ النظام ببيانات شخصية لأي شخص ، فأخبر الشخص المسؤول عن حماية البيانات على الفور (إذا لم يكن ذلك أنت) واطلب إفصاحًا كاملاً. أنا أعلم أن هذا واحد صعب. أعرف أن هذا سيؤذيني. أعلم أن العديد من الشركات تريد أن تكتسح هذا النوع من المشاكل تحت السجادة ولكن سيكون على الشركة التعامل معها - وتحتاج إلى القيام بذلك مع التركيز على أي وجميع قوانين الخصوصية ذات الصلة.

على الرغم من إزعاج عملائك قد يكون لك أن تخبرهم عن مشكلة ، سيكونون أكثر إزعاجاً بكثير إذا لم تخبرهم ، وهم لا يعرفون إلا عن أنفسهم بعد أن يتقاضى شخص ما 8 آلاف دولار من البضائع باستخدام تفاصيل بطاقة الائتمان الخاصة بهم. سرق من موقعك.

تذكر ما قلته سابقا؟ الشيء السيئ حدث بالفعل. والسؤال الوحيد الآن هو مدى حسن تعاملكم معها.

فهم المشكلة بالكامل:

  1. لا تضع الأنظمة المتأثرة مرة أخرى على الإنترنت حتى تكتمل هذه المرحلة بالكامل ، إلا إذا كنت تريد أن تكون الشخص الذي كانت مشاركته هي نقطة التحول بالنسبة لي التي قررت بالفعل كتابة هذه المقالة. لن ارتبط بهذا المنشور حتى يتمكن الناس من الحصول على ضحك رخيص ، لكن المأساة الحقيقية هي عندما يخفق الناس في التعلم من أخطائهم.
  2. قم بفحص أنظمة "الهجوم" لفهم كيفية نجاح الهجمات في المساس بأمنك. ابذل قصارى جهدك لمعرفة أين "جاءت" الهجمات ، بحيث يمكنك فهم المشاكل التي تواجهها وتحتاج إلى معالجة لجعل نظامك آمنًا في المستقبل.
  3. قم بفحص أنظمة "الهجوم" مرة أخرى ، هذه المرة لفهم أين ذهبت الهجمات ، حتى تتمكن من فهم النظم التي تم اختراقها في الهجوم. تأكد من متابعة أي مؤشرات تشير إلى أن الأنظمة التي تعرضت للاختراق يمكن أن تصبح نقطة انطلاق لمهاجمة أنظمتك بشكل أكبر.
  4. تأكد من فهم "العبّارات" المستخدمة في أي وجميع الهجمات بشكل كامل ، بحيث يمكنك البدء في إغلاقها بشكل صحيح. (على سبيل المثال ، إذا تم اختراق أنظمتك من خلال هجوم حقن SQL ، فلن تحتاج فقط إلى إغلاق سطر الشفرة المعيّن الذي قاموا بقطعه ، بل قد ترغب في تدقيق جميع الشفرات لمعرفة ما إذا كان النوع نفسه من الأخطاء كان في مكان آخر).
  5. نفهم أن الهجمات قد تنجح بسبب أكثر من عيب واحد. في كثير من الأحيان ، لا تنجح الهجمات من خلال العثور على خطأ رئيسي واحد في النظام ، ولكن عن طريق الربط بين عدة قضايا (أحيانًا بسيطة أو تافهة) لإفساد النظام. على سبيل المثال ، باستخدام هجمات حقن SQL لإرسال الأوامر إلى خادم قاعدة بيانات ، فإن اكتشاف موقع الويب / التطبيق الذي تقوم بمهاجمته يتم تشغيله في سياق مستخدم إداري واستخدام حقوق ذلك الحساب كنقطة انطلاق لاختراق أجزاء أخرى من نظام. أو كما يصفه المتسللون: "يوم آخر في المكتب يستفيد من الأخطاء الشائعة التي يرتكبها الناس".

لماذا لا تقوم فقط "بإصلاح" أداة استغلال أو rootkit التي قمت باكتشافها ووضع النظام مرة أخرى على الإنترنت؟

في مثل هذه الحالات ، المشكلة هي أنك لا تملك السيطرة على هذا النظام أكثر من ذلك. لم يعد جهاز الكمبيوتر الخاص بك أكثر من ذلك.

الطريقة الوحيدة لتكون المؤكد أن لديك السيطرة على النظام هو إعادة بناء النظام. في حين أن هناك الكثير من القيمة في العثور على و استغلال الاستغلال المستخدم لاقتحام النظام ، لا يمكنك التأكد من ما تم فعله للنظام بمجرد أن يسيطر المتسللون (في الواقع ، لا يسمع عنه المتسللون الذين يوظفون نظم في الروبوتات لقمع المآثر التي استخدموها بأنفسهم ، لحماية "الكمبيوتر" الجديد الخاص بهم من المتسللين الآخرين ، وكذلك تثبيت rootkit الخاصة بهم).

ضع خطة للتعافي واستعادة موقعك على الويب مرة أخرى والتزم به:

لا يريد أحد أن يكون غير متصل بالإنترنت لمدة أطول من الوقت المطلوب. هذا معين. إذا كان هذا الموقع الإلكتروني عبارة عن آلية مدرة للدخل ، فسيكون الضغط على إعادتها عبر الإنترنت سريعًا. حتى لو كان الشيء الوحيد الذي يقع على المحك هو سمعة شركتك / شركتك ، فإن هذا لا يزال يولد الكثير من الضغط لإعادة الأمور بسرعة.

ومع ذلك ، لا تستسلم لإغراء العودة على الإنترنت بسرعة كبيرة. بدلاً من ذلك ، تحرك بأسرع ما يمكن لفهم سبب المشكلة وحلها قبل أن تعود إلى الإنترنت ، وإلا فستقع ضحية لتطفل مرة أخرى ، وتذكر أن "اختراق القرصنة مرة واحدة يمكن أن يصنف على أنه مصيبة ؛ للحصول على اختراق مرة أخرى مباشرة بعد ذلك يبدو وكأنه لا مبالاة "(مع الاعتذار لأوسكار وايلد).

  1. أفترض أنك فهمت جميع المشكلات التي أدت إلى التطفل الناجح في المقام الأول قبل أن تبدأ في هذا القسم. أنا لا أريد المبالغة في القضية ولكن إذا لم تكن قد فعلت ذلك أولاً فأنت بحاجة بالفعل إلى ذلك. آسف.
  2. لا تدفع ابدا ابتزاز / حماية المال. هذه علامة على علامة سهلة ولا تريد استخدام هذه العبارة لوصفك.
  3. لا تميل إلى وضع نفس الخادم (الخوادم) مرة أخرى على الإنترنت دون إعادة بناء كاملة. يجب أن يكون من الأسرع بكثير إنشاء مربع جديد أو "nuke الخادم من المدار والقيام بتثبيت نظيف" على الجهاز القديم مما سيكون عليه تدقيق كل ركن من النظام القديم للتأكد من نظافته قبل إعادة تشغيله على الانترنت مرة أخرى. إذا كنت لا توافق على ذلك ، فمن المحتمل أنك لا تعرف ما يعنيه ذلك حقاً لضمان تنظيف النظام بالكامل ، أو أن إجراءات نشر موقعك على الويب هي فوضى غير مقدسة. من المفترض أن يكون لديك نسخ احتياطية وعمليات اختبار تجريبية لموقعك والتي يمكنك استخدامها فقط لإنشاء الموقع المباشر ، وإذا لم تتعرض للقرصنة ، فهذا ليس مشكلتك الأكبر.
  4. كن حذرًا جدًا بشأن إعادة استخدام البيانات التي كانت "مباشرة" على النظام في وقت الاختراق. لن أقول "أبداً أبداً أن تفعل ذلك" لأنك سوف تتجاهلني ، ولكن بصراحة أعتقد أنك بحاجة إلى التفكير في عواقب حفظ البيانات عندما تعرف أنك لا تستطيع ضمان سلامتها. من الناحية المثالية ، يجب عليك استعادة هذا من نسخة احتياطية قبل التطفل. إذا لم تستطع أو لا تفعل ذلك ، يجب أن تكون حذراً للغاية مع هذه البيانات لأنه ملوث. يجب أن تكون على دراية بالنتائج المترتبة على الآخرين إذا كانت هذه البيانات تخص العملاء أو زوار الموقع وليس بشكل مباشر لك.
  5. مراقبة النظام (s) بعناية. يجب أن تقرر أن تفعل ذلك كعملية مستمرة في المستقبل (أكثر أدناه) ولكنك تأخذ المزيد من الآلام لتتوخى الحذر خلال الفترة التي تلي مباشرة عودة موقعك على الإنترنت. من المؤكد أن المتسللين سيعودون مرة أخرى ، وإذا تمكنت من اكتشافهم وهم يحاولون اختراقه مرة أخرى ، فستتمكنون بالتأكيد من رؤية ما إذا كنت قد أغلقت جميع الثقوب التي استخدموها من قبل بالإضافة إلى أي ثقوب قاموا بها لأنفسهم ، وقد تجمع المعلومات التي يمكنك تمريرها إلى تطبيق القانون المحلي لديك.

تقليل المخاطر في المستقبل.

أول شيء يجب أن تفهمه هو أن الأمن هو عملية يجب عليك تطبيقها طوال دورة حياة تصميم نظام للإنترنت ونشره وصيانته ، وليس شيئًا يمكنك أن تطلق عليه بضع طبقات فوق الشفرة الخاصة بك بعد ذلك مثل رخيصة الثمن رسم. لكي تكون آمنة بشكل صحيح ، يجب تصميم الخدمة والتطبيق من البداية مع وضع ذلك في الاعتبار كأحد الأهداف الرئيسية للمشروع. أدرك أن هذا أمر ممل وقد سمعتموه من قبل وأنني "لا أفهم ضغوط الرجل" في الحصول على خدمة beta web2.0 (beta) في وضع بيتا على الويب ، لكن الحقيقة هي أن هذا يبقي تتكرر لأنه كان صحيحًا في المرة الأولى التي قيلت فيها ولم تصبح بعد كذبة.

لا يمكنك القضاء على المخاطر. لا يجب عليك حتى محاولة القيام بذلك. لكن ما يجب عليك فعله هو فهم المخاطر الأمنية المهمة بالنسبة لك ، وفهم كيفية إدارة وخفض كل من تأثير المخاطر واحتمال حدوث المخاطر.

ما الخطوات التي يمكنك اتخاذها لتقليل احتمال نجاح الهجوم؟

فمثلا:

  1. هل كان الخلل هو الذي سمح للناس باختراق الموقع الخاص بك كشخ معروف في رمز البائع ، والذي كان التصحيح متوفرًا به؟ إذا كان الأمر كذلك ، فهل تحتاج إلى إعادة التفكير في أسلوبك في كيفية تصحيح التطبيقات على الخوادم المواجهة للإنترنت؟
  2. هل كان الخلل هو الذي سمح للناس باختراق موقع الويب الخاص بك على خطأ غير معروف في رمز البائع ، والذي لم يكن التصحيح متوفرًا له؟ إنني بالتأكيد لا أدافع عن تغيير الموردين عندما يشبهك شيء من هذا القبيل لأنهم يعانون جميعًا من مشكلاتهم وستفدوا من المنصات خلال عام على الأكثر إذا اتخذتم هذا النهج. ومع ذلك ، إذا كان النظام يسمح لك باستمرار ، فيجب عليك إما الانتقال إلى شيء أكثر قوة أو على الأقل ، إعادة هندسة النظام الخاص بك بحيث تبقى المكونات الضعيفة ملفوفة في الصوف القطني وبعيدًا قدر الإمكان عن العيون المعادية.
  3. هل كان الخلل خطأ في الكود المطور من قبلك (أو مقاول يعمل من أجلك)؟ إذا كان الأمر كذلك ، فهل تحتاج إلى إعادة التفكير في أسلوبك في كيفية موافقتك على الرمز للنشر في موقعك الحالي؟ هل يمكن أن يتم اكتشاف الخطأ مع نظام اختبار محسّن ، أو مع تغييرات في "الترميز" القياسي الخاص بك (على سبيل المثال ، في حين أن التكنولوجيا ليست الدواء الشافي ، يمكنك تقليل احتمال نجاح هجوم حقن SQL باستخدام تقنيات الترميز جيدة التوثيق ).
  4. هل كان الخطأ ناتج عن مشكلة في كيفية نشر الخادم أو برنامج التطبيق؟ إذا كان الأمر كذلك ، فهل تستخدم إجراءات آلية لإنشاء خوادم ونشرها قدر الإمكان؟ هذه هي مساعدة كبيرة في الحفاظ على حالة "خط الأساس" متسقة على جميع الخوادم الخاصة بك ، والتقليل من كمية العمل المخصص الذي يتعين القيام به على كل واحد ، وبالتالي نأمل أن يقلل إلى أدنى حد من فرصة ارتكاب خطأ. وينطبق نفس الشيء على نشر الكود - إذا كنت تحتاج إلى إجراء شيء "خاص" لنشر أحدث إصدار من تطبيق الويب الخاص بك ، فحاول جاهداً تشغيله تلقائيًا والتأكد من تنفيذه دائمًا بطريقة متناسقة.
  5. هل تم اكتشاف التطفل في وقت سابق مع مراقبة أفضل لأنظمتك؟ بالطبع ، قد لا تكون المراقبة على مدار 24 ساعة أو نظام "الاتصال" لموظفيك فعالة من حيث التكلفة ، ولكن هناك شركات في الخارج يمكنها مراقبة خدمات الويب الخاصة بك نيابة عنك وتنبيهك في حالة حدوث مشكلة. قد تقرر أنك لا تستطيع تحمل هذا أو لا تحتاج إليه وهذا أمر جيد ... فقط ضعه في الاعتبار.
  6. استخدم أدوات مثل tripwire و nessus حيثما كان ذلك مناسبًا - ولكن لا تستخدمها فقط بشكل أعمى لأنني قلت ذلك. خذ الوقت الكافي لتعلم كيفية استخدام بعض الأدوات الأمنية الجيدة المناسبة لبيئتك ، والحفاظ على تحديث هذه الأدوات واستخدامها على أساس منتظم.
  7. ضع في اعتبارك الاستعانة بخبراء الأمن "لمراجعة" أمان موقع الويب الخاص بك على أساس منتظم. مرة أخرى ، قد تقرر أنك لا تستطيع تحمل هذا أو لا تحتاج إليه وهذا أمر جيد ... فقط ضعه في الاعتبار.

ما الخطوات التي يمكنك اتخاذها للحد من عواقب هجوم ناجح؟

إذا قررت أن "خطر" الطابق السفلي من الفيضان المنزلي الخاص بك مرتفع ، ولكن ليس مرتفعًا بما يكفي لتبرير الانتقال ، فيجب عليك على الأقل تحريك الأسرة التي لا يمكن تعويضها عن طريق الإرث في الطابق العلوي. حق؟

  1. هل يمكنك تقليل كمية الخدمات المعروضة مباشرةً على الإنترنت؟ هل يمكنك الحفاظ على نوع من الفجوة بين خدماتك الداخلية والخدمات التي تواجهك على الإنترنت؟ وهذا يضمن أنه حتى في حالة تعرض الأنظمة الخارجية للخطر ، فإن فرص استخدام هذا كنقطة انطلاق لمهاجمة أنظمتك الداخلية محدودة.
  2. هل تقوم بتخزين معلومات لا تحتاج لتخزينها؟ هل تقوم بتخزين هذه المعلومات "عبر الإنترنت" عندما يمكن أرشفتها في مكان آخر. هناك نقطتان لهذا الجزء ؛ الأمر الواضح هو أن الناس لا يستطيعون سرقة المعلومات التي لا تملكها ، والنقطة الثانية هي أنه كلما قل تخزينك ، كلما قلت الحاجة إلى الحفاظ عليها ورمزها ، وبالتالي هناك فرص أقل للبق للانزلاق إلى تصميم الكود أو الأنظمة الخاصة بك.
  3. هل تستخدم مبادئ "الوصول الأقل" لتطبيقك على الويب؟ إذا كان المستخدمون بحاجة فقط إلى القراءة من قاعدة بيانات ، فتأكد من أن الحساب الذي يستخدمه تطبيق الويب لخدمة هذا المستخدم لديه حق الوصول للقراءة فقط ، ولا تسمح له بالوصول للكتابة وليس بالتأكيد الوصول إلى مستوى النظام.
  4. إذا لم تكن لديك خبرة كبيرة في شيء ما ، ولم تكن محوريًا لنشاطك التجاري ، فكر في الاستعانة بمصادر خارجية. بعبارة أخرى ، إذا قمت بتشغيل موقع ويب صغير يتحدث عن كتابة رمز تطبيق سطح المكتب وقررت البدء في بيع تطبيقات سطح المكتب الصغيرة من الموقع ، فضع في اعتبارك "الاستعانة بمصادر خارجية" لنظام طلب بطاقة الائتمان الخاصة بك لشخص ما مثل Paypal.
  5. إذا كان ذلك ممكنًا ، فاجعل عملية التعافي من الأنظمة التي تعرضت للاختراق جزءًا من خطة استرداد الحالات المستعصية. هذا هو مجرد "سيناريو كارثة" آخر يمكن أن تصادفه ، ببساطة واحد بمجموعته الخاصة من المشاكل والقضايا التي تختلف عن المعتاد "غرفة الخوادم التي اشتعلت فيها النيران" / "تم غزوها من قبل الخادم العملاق الذي يأكل فربي".

... وأخيراً

من المحتمل أنني لم أترك أيًا من الأشياء التي يعتبرها الآخرون مهمة ، ولكن الخطوات المذكورة أعلاه يجب أن تساعدك على الأقل في البدء في فرز الأشياء إذا لم تكن محظوظًا بما يكفي لوقوعك ضحية للقراصنة.

قبل كل شيء: لا داعي للذعر. فكر قبل أن تتصرف. التصرف بحزم بمجرد اتخاذ قرار ، وترك تعليق أدناه إذا كان لديك شيء لتضيفه إلى قائمة خطواتي.


988
2018-01-02 21:46



يمكنك إجراء 1+ لمشاركة ممتازة لبدء تشغيل الأشخاص في الاتجاه. أعرف مدى شيوع مسئولي خادم الهواة في الوصول إلى حالة الذعر هذه في المرة الأولى التي يحدث فيها "اختراق" لهم. انه ضخم خطأ في هذا المكان ، لكنه يحدث. الأمل هو أن هذا لن يحدث للشخص نفسه ، مرتين. - Andrew Barber
+1 "... ولكن ليس هذا هو الوقت المناسب لتخلي غرور نفسك في طريق ما تحتاج إليه". هذا أمر مهم لفهم Sys Admins أحيانًا. بغض النظر عن مدى معرفتك ، فهناك دائمًا تلك (الخبيثة أحيانًا) الأكثر معرفة أو ذكاء منك. - Grahamux
جواب رائع. لست متأكدًا من سبب تعامل الجميع مع خطوة "تنفيذ قانون المكالمة" على أنها اختيارية. إذا كنت مسؤولاً عن بيانات الأشخاص الآخرين (والقلق بشأن التقاضي) ، فيجب أن يكون هذا أحد أول الأشياء في قائمة الأشياء التي عليك القيام بها. - wds
كتابة جيدة جدا ، مجرد مسحة واحدة - "جعل الكشف الكامل والصريح لأي شخص يحتمل أن تتأثر في وقت واحد." الشرف ، ولكن ليس صحيحا دائما. في الرد على حل وسط ، قد تحتاج إلى قطع بعض جوانب الإدارة ، وستقوم شركتك بشكل عام بتقليص بعض الركود ، ولكن ... الإفصاح أم لا ، وتحديدًا عندما تكون هناك آثار على حماية البيانات قد تكون مسألة فوق درجة راتبك و يمكن أن يكون لها آثار قانونية. قد يكون من الأفضل اقتراح أنك على الفور إبلاغ الشخص المسؤول عن حماية البيانات (إذا لم يكن ذلك أنت) و URGE الكشف الكامل. - TheoJones
GilesRoberts تمتلك الأجهزة الظاهرية عادة لوحة تحكم تتيح لك التحكم في إعدادات ضيوفها ، وحتى التحكم فيها عن بعد دون استخدام RDP أو SSH لتسجيل الدخول فعليًا إلى الضيف. يجب أن تكون قادرًا على عزل الضيف باستخدام عناصر التحكم الخاصة بالمضيف للقيام بذلك ، ثم استخدم أدوات العرض عن بعد للتحقيق مع الضيف في وقت فراغك. - Rob Moir


يبدو وكأنه في رأسك قليلا. هذا حسن. استدعاء رئيسك في العمل وبدء التفاوض للحصول على ميزانية الاستجابة الأمنية الطارئة. قد يكون 10000 دولار مكانًا جيدًا للبدء. ثم تحتاج إلى الحصول على شخص ما (PFY ، زميل عمل ، مدير) لبدء الاتصال بشركات متخصصة في الاستجابة للحوادث الأمنية. يمكن أن يستجيب الكثيرون في غضون 24 ساعة ، وأحيانًا بشكل أسرع حتى إذا كان لديهم مكتب في مدينتك.

أنت أيضا بحاجة إلى شخص لفرز الزبائن. بلا شك ، شخص ما بالفعل. يحتاج شخص ما أن يكون على الهاتف معهم لشرح ما يجري ، ما الذي يتم عمله للتعامل مع الوضع ، والإجابة على أسئلتهم.

ثم ، تحتاج إلى ...

  1. ابق هادئا. إذا كنت مسؤولاً عن الاستجابة للحوادث ، فإن ما تفعله الآن يحتاج إلى إظهار أقصى قدر من الاحترافية والقيادة. توثيق كل ما تفعله ، وإبقاء مديرك وفريقك التنفيذي على علم بالإجراءات الرئيسية التي تتخذها ؛ ويشمل ذلك العمل مع فريق الاستجابة ، وتعطيل الخوادم ، والنسخ الاحتياطي للبيانات ، وجلب الأشياء عبر الإنترنت مرة أخرى. لا يحتاجون إلى تفاصيل دموية ، ولكن يجب أن يسمعوا منك كل 30 دقيقة أو ما شابه.

  2. كن واقعيا. أنت لست محترفًا في الأمان ، وهناك أشياء لا تعرفها. هذا حسن. عند تسجيل الدخول إلى الخوادم والبحث في البيانات ، تحتاج إلى فهم حدودك. فقي بلطف. في أثناء التحقيق ، تأكد من عدم الدوس على المعلومات الحيوية أو تغيير أي شيء قد يكون مطلوبًا في وقت لاحق. إذا كنت تشعر بعدم الارتياح أو أنك تخمن ، فهذا مكان جيد للتوقف والحصول على خبرة مهنية لتولي المسؤولية.

  3. الحصول على عصا USB نظيفة وقطع الغيار على الأقراص الصلبة. سوف تجمع الأدلة هنا. قم بعمل نسخ احتياطية من كل ما تشعر به قد تكون ذات صلة ؛ التواصل مع مزود خدمة الإنترنت الخاص بك ، ومكبات الشبكة ، وما إلى ذلك. حتى لو لم يتم التدخل في تطبيق القانون ، في حالة وجود دعوى قضائية ، فإنك تريد أن تثبت هذه الأدلة أن شركتكم تعاملت مع الحادث الأمني ​​بطريقة احترافية ومناسبة.

  4. الأهم هو إيقاف الخسارة. تحديد وحظر الوصول إلى الخدمات والبيانات والآلات التي تم اختراقها. بشكل مفضل ، يجب عليك سحب كبل الشبكة الخاص به؛ إذا كنت لا تستطيع ، ثم سحب السلطة.

  5. بعد ذلك ، تحتاج إلى إزالة المهاجم وإغلاق الثقب (الثقوب). من المفترض أن المهاجم لم يعد له وصولاً تفاعليًا لأنك سحبت الشبكة. تحتاج الآن إلى تحديد وتوثيق (مع النسخ الاحتياطية ولقطات الشاشة وملاحظات الملاحظة الشخصية الخاصة بك ، أو يفضل حتى إزالة محركات الأقراص من الخوادم المتأثرة وإنشاء نسخة كاملة من صورة القرص) ، ثم إزالة أي كود والعمليات التي تركها خلفه . هذا الجزء التالي سوف يمتص إذا لم يكن لديك نسخ احتياطية ؛ يمكنك محاولة فك المهاجم من النظام باليد ، ولكن لن تكون متأكدًا من أنك حصلت على كل شيء تركه وراءك. الجذور الخفية هي شريرة ، وليست كلها قابلة للاكتشاف. وستكون أفضل استجابة هي تحديد درجة الضعف التي اعتاد على الدخول إليها ، وإجراء نسخ مصورة للأقراص المتأثرة ، ثم مسح الأنظمة المتأثرة وإعادة تحميلها من نسخة احتياطية جيدة معروفة. لا تثق عمياء بالنسخة الاحتياطية ؛ تحقق من ذلك! إصلاح أو إغلاق مشكلة عدم الحصانة قبل المضيف الجديد على الشبكة مرة أخرى ، ثم إحضارها عبر الإنترنت.

  6. تنظيم جميع بياناتك في تقرير. عند هذه النقطة يتم إغلاق الثغرة ويكون لديك بعض الوقت للتنفس. لا تغضب لتخطي هذه الخطوة ؛ بل هو أكثر أهمية من بقية العملية. في التقرير ، تحتاج إلى تحديد الخطأ ، وكيفية استجابة فريقك ، والخطوات التي تتخذها لمنع حدوث هذا الحادث مرة أخرى. كن تفصيليا قدر ما تستطيع؛ هذا ليس فقط بالنسبة لك ، ولكن لإدارتك وكدفاع في دعوى قضائية محتملة.

هذه مراجعة عالية لما يجب القيام به ؛ معظم العمل هو ببساطة التوثيق والتعامل مع النسخ الاحتياطي. لا داعي للذعر ، يمكنك القيام بهذه الأشياء. أنا بقوة ننصحك بالحصول على مساعدة أمان احترافية. حتى إذا كنت تستطيع التعامل مع ما يجري ، فإن مساعدتهم ستكون ذات قيمة كبيرة وعادة ما تأتي مع المعدات لجعل العملية أسهل وأسرع. إذا كان رئيسك يتراجع عن التكلفة ، أذكره بأنه صغير جدا عند مقارنته بالتعامل مع الدعوى القضائية.

لديك تعزيزي لموقفك. حظا سعيدا.


199
2018-01-02 22:16



+1 إجابة رائعة. يبدو أن البروتوكول الاختياري لا يحتوي على "استجابة طارئة" محددة مسبقًا ويجب أن تشير رسالتك ، من بين أشياء أخرى جيدة ، إلى الوصول إلى هذا الإعداد. - Rob Moir


CERT ديه وثيقة خطوات الاسترداد من UNIX أو NT Compromise هو جيد. التفاصيل الفنية المحددة لهذا المستند قديمة بعض الشيء ، ولكن الكثير من النصائح العامة لا تزال تنطبق بشكل مباشر.

ملخص سريع للخطوات الأساسية هو هذا.

  • استشر سياسة الأمان أو الإدارة الخاصة بك.
  • الحصول على التحكم (خذ الكمبيوتر دون اتصال)
  • تحليل التطفل ، والحصول على سجلات ، الرقم الذي حدث خطأ
  • إصلاح الاشياء
    • تثبيت نسخة نظيفة من نظام التشغيل الخاص بك! إذا تم اختراق النظام ، فلا يمكنك الوثوق به.
  • تحديث الأنظمة بحيث لا يمكن حدوث ذلك مرة أخرى
  • استئناف العمليات
  • تحديث سياستك للمستقبل والوثيقة

أود أن أشير بالتحديد إلى القسم E.1.

E.1.   ضع في اعتبارك أنه إذا كان الجهاز   مخترق ، أي شيء على هذا النظام   يمكن أن يكون قد تم تعديله ، بما في ذلك   النواة ، الثنائيات ، ملفات البيانات ،   تشغيل العمليات والذاكرة. في   عام ، والطريقة الوحيدة للثقة أن أ   الآلة خالية من الخلف و   التعديلات دخيل هو إعادة تثبيت   التشغيل

إذا لم يكن لديك بالفعل نظام مثل tripwire فلا توجد طريقة ممكنة لتكون متأكدا بنسبة 100 ٪ من أنك قمت بتنظيف النظام.


105
2018-05-08 09:02



حتى ذلك الحين يمكن أن تنخدع tripwire مع وحدات النواة ومثل. إعادة تثبيت. - reconbot
السؤال ذات الصلة حول كيفية الاستجابة في الأزمة قد يكون مفيدًا أيضًا هنا. - Zoredache


  1. تحديد المشكلة. قراءة السجلات.
  2. يحتوي. لقد قمت بفصل الخادم ، لذا انتهى الأمر.
  3. القضاء. إعادة تثبيت النظام المتأثر ، على الأرجح. لا تمسح القرص الصلب الخاص بالقرصنة المخترقة ، استخدم قرصًا جديدًا. إنها أكثر أمانًا ، وقد تحتاج إلى الشخص القديم لاستعادة الاختراقات القبيحة التي لم تكن مدعومة ، والقيام بالطب الشرعي لمعرفة ما حدث.
  4. استعادة. تثبيت كل ما هو مطلوب واستعادة النسخ الاحتياطي للحصول على عملائك عبر الإنترنت.
  5. متابعة. معرفة ما هي المشكلة ، ومنعها من الحدوث مرة أخرى.

64
2018-01-02 21:49





الإجابة "الحبة المرّّة" التي وضعها روبرت هي إجابة سريعة ولكنها عامة (حسناً ، كما كان سؤالك). يبدو أن لديك مشكلة في الإدارة وفي حاجة ماسة إلى مسؤول نظام بدوام كامل إذا كان لديك خادم واحد و 600 عميل ولكن هذا لا يساعدك الآن.

أدير شركة استضافة توفر القليل من الإمساك باليد في هذه الحالة ، لذا فأنا أتعامل مع الكثير من الماكينات التي تعرضت للاختراق ، ولكنني أتعامل أيضًا مع أفضل الممارسات من أجل ممارستنا. نحن دائمًا نطلب من عملائنا المخضرمين إعادة البناء ما لم يكونوا غير متأكدين تمامًا من طبيعة الحل الوسط. لا يوجد مسار آخر مسؤول على المدى الطويل.

ومع ذلك ، فمن شبه المؤكد أنك مجرد ضحية لولادة البرنامج النصي الذي يريد منصة إطلاق هجمات DoS ، أو حراس IRC ، أو شيء غير مرتبط تمامًا بمواقع وبيانات عملائك. لذلك كإجراء مؤقت أثناء إعادة البناء ، قد تفكر في إنشاء جدار حماية خارجي ثقيل في المربع الخاص بك. إذا كان بإمكانك حظر جميع اتصالات UDP و TCP الصادرة والتي ليست ضرورية تمامًا لتشغيل المواقع الخاصة بك ، فيمكنك بسهولة جعل مربع الاختطار عديم الفائدة إلى أي شخص يقترضه منك ، وتخفيف التأثير على شبكة مزودك إلى الصفر.

قد تستغرق هذه العملية بضع ساعات إذا لم تكن قد قمت بها من قبل ، ولم تضع في اعتبارك جدار حماية ، ولكن قد تساعدك في استعادة خدمة عملائك على خطر الاستمرار في إعطاء المهاجم الوصول إلى بيانات العملاء الخاصة بك. نظرًا لأنك تقول أن لديك المئات من العملاء على جهاز واحد ، فأنا أعتقد أنك تستضيف مواقع كتيب صغيرة للشركات الصغيرة ، وليس 600 نظامًا للتجارة الإلكترونية مملوءًا بأرقام بطاقات الائتمان. إذا كان هذا هو الحال ، فقد يكون هذا خطرًا مقبولًا بالنسبة لك ، وسيعود النظام عبر الإنترنت بشكل أسرع من تدقيق 600 موقع لأخطاء الأمان قبل يمكنك إحضار أي شيء مرة أخرى. لكنك ستعرف ما هي البيانات الموجودة ، ومدى ارتياحك لاتخاذ هذا القرار.

هذه ليست أفضل الممارسات على الإطلاق ، ولكن إذا لم يكن هذا هو ما يحدث لدى صاحب العمل حتى الآن ، فقم بإلقاء إصبعك عليهم وطلب عشرات الآلاف من الجنيهات لفريق SWAT لشيء قد يشعرون به هو خطأك (غير أنه لا يمكن تبريره!). ) لا يبدو مثل الخيار العملي.

ستكون مساعدة مزود خدمة الإنترنت هنا حاسمة للغاية - بعض مزودي خدمات الإنترنت توفير خادم وحدة تحكم وبيئة تمهيد الشبكة (قم بتوصيل ، ولكن على الأقل تعرف نوع المرفق الذي تبحث عنه) والذي سيتيح لك إدارة الخادم أثناء قطع الاتصال بالشبكة. إذا كان هذا خيارًا على الإطلاق ، فاطلبه واستخدمه.

ولكن على المدى الطويل ، يجب أن تخطط لبناء نظام يعتمد على وظيفة روبرت ومراجعة كل موقع وإعداده. إذا لم تتمكن من إضافة مسؤول نظام إلى فريقك ، فابحث عن a الاستضافة المدارة صفقة تدفع فيها مزود خدمة الإنترنت (ISP) الخاص بك لمساعدته في خدمة sysadminning واستجابة لمدة 24 ساعة لهذا النوع من الأشياء. حظا سعيدا :)


49
2018-01-03 13:48





تحتاج إلى إعادة تثبيت. احفظ ما تحتاجه حقًا. ولكن ضع في اعتبارك أن جميع الملفات الخاصة بك runnable قد تكون مصابة والتلاعب بها. كتبت ما يلي في بيثون: http://frw.se/monty.py مما يخلق MD5-sumbs لجميع ملفاتك في دليل معين وفي المرة التالية التي تقوم فيها بتشغيله ، فإنه يتحقق مما إذا كان قد تم تغيير أي شيء ومن ثم إخراج الملفات التي تغيرت وما تغير في الملفات.

قد يكون هذا مفيدًا لك ، لمعرفة ما إذا كانت الملفات الغريبة تتغير بانتظام.

ولكن الشيء الوحيد الذي ينبغي عليك فعله الآن هو إزالة جهاز الكمبيوتر من الإنترنت.


38
2018-05-08 08:02



لذا ... قمت بتطبيق tripwire. - womble♦
نعم ، شيء خاطئ في ذلك؟ - Filip Ekberg
+1 لفصل ، تحليل (الحصول على شخص ما للقيام بالطب الشرعي الحقيقي على ذلك) ومسح - Oskar Duveborn
بالنظر إلى الاختيار بين نص برمجي Python المجهول والحل المعيّن ، (إلى حد ما) المدعم والمفهوم جيدًا ، أنت على أمل أن يختار الأول؟ - tripleee


ملحوظة: هذه ليست توصية. بلدي محددة الاستجابة للحادث بروتوكول ربما لن لا ينطبق غير المعدل لحالة جرانت أونوين.

في منشآتنا الأكاديمية لدينا حوالي 300 باحث لا يقومون إلا بالحساب. لديك 600 عميل مع مواقع الويب ، لذا من المحتمل أن يكون البروتوكول مختلفًا.

الخطوات الأولى في أعمالنا عندما يحصل خادم بروتوكول اختراقه هو:

  1. تحديد أن المهاجم كان قادرًا على الحصول على الجذر (امتيازات مرتفعة)
  2. افصل الملقم (الخوادم) المتأثرة. الشبكة أو السلطة؟ يرجى الاطلاع مناقشة منفصلة.
  3. تحقق من كل الأنظمة الأخرى
  4. قم بتمهيد الملقم (الخوادم) المتأثر من قرص مضغوط مباشر
  5. (اختياري) الاستيلاء على الصور لجميع محركات أقراص النظام مع dd
  6. البدء في إجراء الطب الشرعي بعد الوفاة. انظر إلى السجلات ، واكتشف وقت الهجوم ، واعثر على الملفات التي تم تعديلها في ذلك الوقت. حاول الاجابه ماذا؟ سؤال.

    • بالتوازي ، قم بتخطيط وتنفيذ الاسترداد.
    • إعادة تعيين كافة كلمات المرور الجذر والمستخدم قبل استئناف الخدمة

حتى لو "تم تنظيف كل الخلفيات والجذور الخفية" ، لا تثق في هذا النظام - أعد التثبيت من نقطة الصفر.


34
2018-05-18 22:36



-1 افصل الخادم من الطاقة؟ لقد فقدت للتو نصف بيانات الطب الشرعي الخاصة بك! - Josh Brower
@ جوش ، لقد عدلت جوابي - الآن أنها محايدة على سؤال ماذا افصل. - Aleksandr Levchuk
يمكن أن يكون الطب الشرعي لـ RAM (على سبيل المثال / dev / shm) مفيدًا. أنا أفضل فصل كابل الطاقة (ولكن في محاولة لتسجيل الدخول و rsync / بروك الحق قبل). قد نعرض أيضًا لقطات VM متكررة لذا يمكن أن يكون الطب الشرعي في ذاكرة الوصول العشوائي ممكنًا. أسباب الذهاب لكابل الطاقة هي (1) عندما تفعل الطب الشرعي في نظام اختراق ، فأنت "تسير في جميع أنحاء مسرح الجريمة" ؛ (2) يستمر تشغيل مجموعة الجذر - ليس من الصعب جدًا على الخبيث تنفيذ أمر ما (مثل ، مسح النظام) شبكة صلة لأسفل هدف. كايل رانكين في مقالته الجميلة للطب الشرعي الحديث (goo.gl/g21Ok) أوصت سحب كابل الطاقة. - Aleksandr Levchuk
لا يوجد حجم واحد يناسب جميع بروتوكول IR - قد تحتاج بعض المؤسسات للحفاظ على النظام المخترق عبر الإنترنت لفترة أطول ، لأي سبب من الأسباب. (الطب الشرعي من ذاكرة الوصول العشوائي والذاكرة المؤقتة ، والتفاعل مع المتطفلين ، الخ) وجهة نظري هو أنه سيكون من الأفضل أن نوصي ببروتوكول IR عام (مثل جاكوب Borgs أعلاه) بدلا من واحد يبدأ بـ "سحب قابس الطاقة للخادم المخترق. " - Josh Brower


في تجربتي المحدودة ، يميل نظام التنازلات في Linux إلى أن يكون أكثر شمولاً مما هو عليه في Windows. من المرجح أن تتضمن مجموعات الجذر استبدال ثنائيات النظام برمز مخصص لإخفاء البرامج الضارة ، والحاجز إلى التصحيح الساخن للنواة أقل قليلاً. بالإضافة إلى ذلك ، فهو نظام التشغيل المنزلي للكثير من مؤلفي البرامج الضارة. يكون التوجيه العام دائمًا لإعادة إنشاء الخادم المتأثر من البداية ، وهو التوجيه العام لسبب ما.

تنسيق ذلك الجرو.

ولكن ، إذا لم يكن بإمكانك إعادة البناء (أو لن تسمح لك القوى - إعادة - أن تعيد بناءها ضد إصرارك الشاق الذي تحتاجه) ، ما الذي تبحث عنه؟

وحيث أنه يبدو وكأنه قد مضى وقت طويل منذ اكتشاف التطفل ، وتمت استعادة النظام ، فمن المحتمل جدًا أن تكون آثار الكيفية التي تم بها اختراقها في التدافع لاستعادة الخدمة. مؤسف.

ربما تكون حركة مرور الشبكة غير المعتادة هي الأسهل في العثور عليها ، حيث لا يتضمن ذلك تشغيل أي شيء على العلبة ويمكن إجراؤها أثناء تشغيل الخادم وفعل أي شيء. بافتراض ، بالطبع ، يسمح ترس شبكتك بتمديد المنفذ. ما قد تجده قد يكون أو لا يكون تشخيصًا ، ولكنه على الأقل معلومات. سيكون الحصول على حركة مرور غير عادية دليلاً قوياً على أن النظام لا يزال عرضة للخطر ويحتاج إلى تسوية. قد يكون جيدًا بما فيه الكفاية لإقناع TPTB أن إعادة صياغة حقا ، حقا ، يستحق التوقف.

أخفق ذلك ، خذ dd-copy من أقسام النظام الخاص بك وقم بتحميلها على مربع آخر. ابدأ بمقارنة المحتويات مع الخادم على نفس مستوى التصحيح مثل المخترق. يجب أن يساعدك في تحديد ما يبدو مختلفًا (تلك md5sums مرة أخرى) وقد يشير إلى مناطق تم تجاهلها على الخادم المخترق. هذا هو الكثير من غربلة الدلائل والثنائيات ، وسوف تكون بالأحرى كثيفة العمالة. قد يكون الأمر أكثر كثافة في العمل مما قد يكون عليه إعادة البناء / إعادة البناء ، وقد يكون شيئًا آخرًا لإصابة TPTB بشأن إجراء الإصلاح الذي تحتاج إليه بالفعل.


28
2018-01-03 14:31



"شكل ذلك الجرو." - +1 ، نصيحة حكيم. انظر أيضا: "نوك من المدار ، إنها الطريقة الوحيدة للتأكد." - Avery Payne


أود أن أقولRobert Moir،Aleksandr Levchuk،blueben andMatthew Bloch كلها تشبه إلى حد كبير في ردودهم.

ومع ذلك ، تختلف إجابات الملصقات المختلفة - فبعضها أكثر على مستوى عالٍ ويتحدث عن الإجراءات التي يجب أن تطبقها (بشكل عام).

أنا أفضل فصل هذا إلى عدة أجزاء منفصلة 1) Triage، AKA كيفية التعامل مع العملاء والتأثيرات القانونية ، وتحديد مكان الانتقال من هناك (مدرج جيدًا بواسطة Robert وblueben 2) تخفيف التأثير 3) الاستجابة للحادث 4) الطب الشرعي بعد الوفاة 5) عناصر الإصلاح وتغييرات العمارة

(أدخل بيان الاستجابة المعتمد الخاص بشركة SANS GSC هنا) استنادا إلى التجارب السابقة ، أود أن أقول ما يلي:

بغض النظر عن كيفية التعامل مع استجابات العملاء والإخطارات والخطط القانونية والمستقبلية ، فأنا أفضل التركيز على القضية الرئيسية في متناول اليد. لا يتعلق السؤال الأصلي الخاص بـ OP إلا بشكل مباشر بـ # 2 و 3 فقط ، بشكل أساسي ، بكيفية إيقاف الهجوم ، إعادة العملاء عبر الإنترنت إلى ASAP في حالتها الأصلية ، والتي تم تغطيتها بشكل جيد في الردود.

بقية الردود رائعة وتغطي الكثير من أفضل الممارسات وأفضل الطرق لمنعها من الحدوث في المستقبل بالإضافة إلى الاستجابة بشكل أفضل لها.

وهو يعتمد فعلاً على ميزانية البرنامج الاختياري وما هو قطاع الصناعة الذي يدخل فيه ، وما هو الحل المطلوب له وما إلى ذلك.

ربما يحتاجون إلى استئجار مخصص في الموقع SA. ربما يحتاجون إلى شخص أمن. أو ربما يحتاجون إلى حل مدار بالكامل مثل Firehost أو Rackspace Managed و Softlayer و ServePath إلخ.

إنه يعتمد فعلاً على ما يناسب أعمالهم. ربما لا تكون كفاءاتهم الأساسية في إدارة الخوادم وليس من المنطقي بالنسبة لهم محاولة تطوير ذلك. أو ربما تكون منظمة فنية جميلة بالفعل ويمكنها اتخاذ قرارات التوظيف الصحيحة وتقديم فريق عمل متفرغ بدوام كامل.


28
2018-01-04 02:21



نعم ، هذا يعتمد ، نعرف. قول ذلك لا يساعد كثيراً - DOK


بعد الحصول على العمل وإلقاء نظرة على الخادم تمكننا من معرفة المشكلة. لحسن الحظ ، تم تحميل الملفات المخالفة إلى النظام يوم الأحد ، عندما يتم إغلاق المكتب ولا يجب إنشاء ملفات ، بصرف النظر عن السجلات وملفات ذاكرة التخزين المؤقت. باستخدام أمر shell بسيط لمعرفة الملفات التي تم إنشاؤها في ذلك اليوم وجدناها.

يبدو أن جميع الملفات المخالفة كانت موجودة داخل / images / folder على بعض مواقع zencart القديمة. يبدو أن هناك ثغرة أمنية تسمح (باستخدام curl) أي أحمق لتحميل صور غير في قسم تحميل الصور في قسم الإدارة. قمنا بحذف ملفات .php المخالفة ، وقمت بإصلاح البرامج النصية للتحميل على عدم السماح بتحميل أي ملفات غير صور.

في الماضي ، كان الأمر بسيطًا جدًا وأثارت هذا السؤال على iPhone في الطريق إلى العمل. شكرا لجميع رفاقك.

للإشارة إلى أي شخص يزور هذه المشاركة في المستقبل. أود ليس نوصي بسحب قابس الطاقة.


24
2017-12-05 12:52



جرانت ، أنا مسرور أنها عملت بسلاسة للغاية بالنسبة لك. كان شيئا صغيرا - أقل خطورة بكثير مما افترض الكثير منا. علمتني هذه المناقشة درسًا حول التواصل ، وقدمت العديد من النصائح الجيدة والطعام للتفكير في الاستجابات غير اللائقة. - Aleksandr Levchuk
نشكرك على عودتك وإخبارنا بكيفية ظهورك - كما ترون ، لقد أثار سؤالك الكثير من النقاش. أنا سعيد لأنك لا يبدو أن هذا سيئ للغاية ، وأن الحل الخاص بك كان بسيطًا جدًا في النهاية. - Rob Moir
يجب أن يكون هذا تعليقًا (أو مضمنًا كنص في سؤالك) ، وليس إجابة لسؤالك. - Techboy
Techboy: يبدو أنه لم يرتبط بعد بحسابات SO و SF الخاصة به ، لذلك لا يمكنه تعديل سؤاله. Grant: يمكنك ربط حساباتك من خلال لوحة "الحسابات" في صفحة المستخدم الخاصة بك. - Hippo
دون تكوين خط الأساس كيف تعرف لا تشغيل الجذور الخفية؟ - The Unix Janitor