Server compromesso. Passi per determinare ulteriori danni sulla rete? [chiuso]

Naviga le tue risposte
5

Quindi uno dei tuoi server è compromesso. Si determina questo perché si nota un processo strano in esecuzione (come root, purtroppo). Nessuna informazione utile su questo processo da Google su Google.

Per prima cosa, puliamo questo server sporco conosciuto. Nuke dall'orbita, ci vediamo dopo. Come faccio a gestire un server compromesso? è una buona guida per trattare con quel server.

Ora, un processo eseguito come root su una scatola all'interno della rete interna non mi dà molta fiducia che questo attacco sia contenuto solo su questo singolo server, tuttavia, non riesco a trovare immediatamente alcuna firma su altre caselle. Sarà un compito enorme, probabilmente con notevoli perdite di dati o tempi di fermo, per nuotare completamente l'intera infrastruttura e ricostruire.

Quali passi dovresti fare per essere sicuro che un attacco non si sia diffuso ad altri server sulla rete?

Bonus: questa è una domanda ampia. Non riesco a trovare alcuna buona risorsa per descrivere le migliori pratiche attuali per gestire la risposta agli incidenti / analisi forense. Esistono risorse?

    
posta Anthony Kraft 18.04.2016 - 17:28
fonte

2 risposte

1

"Quali misure prendi per sentirti sicuro ..." Ripristina dal backup. Ora hai detto che esegui come root quindi presumo che questa sia una variante Unix (Linux / BSD / etc) qui ci sono alcune cose che puoi fare per darti una linea di base su cosa potrebbe succedere. 1) Porta la macchina offline se possibile: 

mkdir /tmp/DFIR
netstat -a | grep -i "tcp\|udp\|icmp" >> /tmp/DFIR/connections.txt
last >> /tmp/DFIR/lastlogins.txt
lsof ID_OF_SUSPICIOUS_PROCESS >> /tmp/DFIR/suspicious-PID.txt

Ora che hai un'idea delle cose di base da guardare, questa sarà probabilmente una perdita di tempo. A seconda di cosa è stato utilizzato per entrare, se c'è o meno una backdoor, i file di log sono stati cancellati, può essere un'attività che richiede tempo. Ma se vuoi continuare ...

Una volta ottenuto il PID del processo sospetto, è possibile determinare (se non è stato utilizzato timestomp o chage) quando si è trattato di luci / modifiche tramite i tempi di MACE. Puoi provare a provare Volatilità ma a meno che hai già familiarità con l'essenza della medicina legale, l'analisi della memoria richiede molto tempo.

Ora mi fermo perché la domanda iniziale era ampia, hai affermato root e, per quel che ne so, stai usando Windows. Il mio consiglio, ripristinare da un backup a meno che non vi sia qualcosa in cui si intende perseguire accuse civili o penali. In tal caso, avresti bisogno di un esperto.

AGGIUNTO (MODIFICA)

Prima di avviare il sistema, creo una firma YARA per cercare ciò che hai visto. Sicuramente farei il netstat per monitorare le connessioni, alla prossima installazione di ANYTHING, creerei un server syslog remoto e resistente, minimizzando l'accesso al principio del privilegio minimo, per i principianti. Ma ancora una volta, come accennato, la domanda è davvero ampia sin dall'inizio.

    
risposta data 18.04.2016 - 18:49
fonte
0

Come ha detto @SteffenUllrich, dipende da molti fattori. Hai qualche ID? Firewall? La tua rete è piccola o grande?

Ad ogni modo, anche se mancano molti elementi, ecco alcune cose fondamentali da avere per una piccola rete:  - Isolare il computer che è stato compromesso dalla rete

  • Leggi i registri (tieni presente che potrebbero esserci dei log mancanti / cancellati) e cerca informazioni provenienti da altre macchine compromesse
  • Se disponi di IDS, è necessario eseguire alcune indagini
  • Cerca di trovare le risorse che presentano il rischio più elevato (rischio = minaccia x vulnerabilità x costo) e fissale (leggi i log potrebbero essere una buona idea vedere se è compromessa)
  • Informa il tuo collega e chiedi aiuto. Più velocemente la macchina compromessa viene trovata, migliore sarà l'efficacia per proteggere la tua rete.

Cerco di risponderti nel modo migliore possibile con le piccole informazioni, spero che aiuti un po '.

Per ulteriori attacchi, Mozilla crea una chiamata MIG per gli strumenti che può aiutarti a cercare informazioni con una semplice richiesta: link

    
risposta data 18.04.2016 - 18:58
fonte

Leggi altre domande sui tag

Best practice per condividere una password di file (.zip) con il destinatario Passaggi da consigliare dopo che le persone hanno collegato i dispositivi Android a punti di accesso WiFi discutibili