Se sospetto che il mio server sia compromesso, dovrei disconnetterlo immediatamente o no? Da alimentazione o rete?

9

Secondo Mandiant, non dovresti:

Mistake #1: Immediately entering “remediaton mode” – also known as playing “Whack-A-Mole”
... as described here: http://blog.mandiant.com/archives/1525

Esistono scenari in cui è prudente intraprendere un'azione immediata disconnettendosi?

Unita a questa domanda in quanto le risposte dovrebbero essere utili e simili:

Quando un server viene rootato (ad esempio una situazione come questa), una delle prime cose che puoi decidere di fare è contenimento. Alcuni specialisti della sicurezza consigliano di non immettere immediatamente la riparazione e di mantenere il server online fino a quando non saranno completate le analisi forensi. Questi consigli sono di solito per APT. È diverso se hai occasionali violazioni di script Kiddie, quindi puoi decidere di rimediare (aggiustare le cose) in anticipo. Uno dei passaggi di rimedio è il contenimento del server. Citando dalla risposta di Robert Moir - "disconnetti la vittima dai suoi rapinatori".

Un server può essere contenuto tirando il cavo di rete o il cavo di alimentazione.

Quale metodo è migliore?

Prendendo in considerazione la necessità di:

  1. Proteggere le vittime da ulteriori danni
  2. Esecuzione di analisi forensi di successo
  3. (Possibilmente) Protezione di dati preziosi sul server

Modifica: 5 ipotesi

Supponendo che:

  1. Hai rilevato in anticipo: 24 ore.
  2. Si desidera ripristinare in anticipo: 3 giorni di 1 amministratore di sistema sul lavoro (analisi forense e ripristino).
  3. Il server non è una macchina virtuale o un contenitore in grado di acquisire un'istantanea catturando il contenuto della memoria del server.
  4. Decidi di non tentare di perseguire.
  5. Sospetti che l'autore dell'attacco possa utilizzare qualche forma di software (possibilmente sofisticato) e questo software è ancora in esecuzione sul server.
posta Tate Hansen 12.11.2010 - 10:08
fonte

7 risposte

6

Simile a ciò che @AviD ha detto: se è possibile determinare in qualche modo che questa app / host / rete compromessa è attivamente in corso con un altro attacco, potrebbe essere saggio tirare almeno il cavo di rete, giusto? Questo presuppone anche che tu non possa controllare l'attacco in qualche altro modo, o che le cose siano diventate estremamente fuori controllo.

Questo probabilmente preclude qualsiasi processo o infrastruttura, e richiede anche personale molto qualificato o poco ingegnoso.

Sai che è un'ora amatoriale quando estrae alimentazione, rete o dischi su una macchina compromessa.

    
risposta data 15.11.2010 - 16:11
fonte
9

La risposta dipende dal tuo livello di sofisticazione, dal livello di sofisticazione dell'attaccante e dai tuoi obiettivi.

Il post sul blog Mandiant, da uno dei principali fornitori di servizi di risposta agli incidenti e computer forense, è destinato a organizzazioni sofisticate che rispondono a un Advanced Persistent Threat (APT). Una delle loro preoccupazioni è che potresti addirittura non risolvere il problema se non riesci a osservare che gli hacker lavorano su vari sistemi sulla tua rete.

Ma la maggior parte degli incidenti di sicurezza sono attacchi meno sofisticati a macchine scarsamente amministrate. In questo caso, penso che tu stia meglio seguendo il consiglio nella risposta più votata alla domanda Server Fault " Il mio server è stato compromesso EMERGENZA ", il che suggerisce che disconnettere il server è in genere la prima risposta, anche se non devi agire in fretta.

    
risposta data 04.01.2011 - 14:52
fonte
3

Risposta utile su qui di Robert Moir - alcune ottime chat su Serverfault su questo.

    
risposta data 04.01.2011 - 13:10
fonte
1

Sì, se rilevi un attacco attivo attualmente in corso e il tuo meccanismo di rilevamento ti assicura che l'utente malintenzionato non ha ancora "imposto" il tuo sistema o raggiunto il suo obiettivo.

Si noti che questo potrebbe essere rilevante solo se si dispone di meccanismi di rilevamento forti e molto intelligenti, con correlazione in linea e notifiche attive.

    
risposta data 12.11.2010 - 11:03
fonte
1

L'analisi forense della RAM (ad esempio / dev / shm) può essere utile.

Ma preferisco scollegare il cavo di alimentazione (ma prova ad accedere e rsync / proc subito prima).

Le ragioni per andare al cavo di alimentazione sono:

  1. Quando fai la scientifica in un sistema compromesso, stai "calpestando la scena del crimine"
  2. Il root kit continua a funzionare, non è così difficile che il malintenzionato esegua qualcosa (ad es. cancellazioni di sistema) sull'evento Network Link Down .

Kyle Rankin ha dato un bel Introduzione alla scientifica: parla - ci raccomanda di tirare il cavo di alimentazione .

    
risposta data 06.01.2011 - 00:31
fonte
1

Dipende.

Il blog Mandiant si concentra sull'APT. Se questa è la tua preoccupazione principale, il loro consiglio potrebbe avere un valore.

Tuttavia ci sono anche molte organizzazioni in cui l'APT non è probabilmente la preoccupazione principale, e per quelle organizzazioni, potrebbe essere ragionevole disconnettere l'accesso alla rete a una macchina compromessa non appena si rileva un compromesso.

Ad esempio, in un'organizzazione che conosco bene, la sicurezza è, abbastanza ragionevolmente, una priorità relativamente bassa. Non c'è modo che facciano un'indagine forense su ogni macchina che è stata compromessa. Non potevano permetterselo; e probabilmente sarebbe anche troppo dirompente. Se sai che non farai un'indagine forense su ogni macchina compromessa, ci sono pochi motivi per ritardare la rimozione della spina. Allo stesso modo, non sono un obiettivo probabile per le APT; per la maggior parte, non hanno dati di valore sufficiente. La loro sfida principale è la penetrazione quotidiana "script-kiddy" di routine di macchine gestite dall'utente.

    
risposta data 07.01.2011 - 06:55
fonte
1

Sono totalmente d'accordo con nealmcb.

  1. Se si è di fronte a un "APT" e si desidera effettuare accertamenti sul server compromesso, è possibile lasciare il server compromesso e analizzare il traffico di rete proveniente dal / sul proprio server. Questo ha bisogno di tempo per indagare e l'hacker continuerà a esplorare la tua infrastruttura IT ...

  2. Il buon senso è disconnettere immediatamente il server per impedire l'uso non autorizzato della tua infrastruttura.

Il mio consiglio sarebbe di disconnettere il server a meno che non abbiate molto tempo per l'analisi forense.

    
risposta data 04.01.2011 - 19:20
fonte

Leggi altre domande sui tag