Perché qualcuno dovrebbe caricare molti file iptables durante una violazione della sicurezza e sono motivo di preoccupazione?

2

Il mio posto di lavoro ha avuto più errori di sicurezza di accesso non autorizzati nell'ultimo mese. Da allora, la maggior parte dei computer è stata ripulita e gli account utente eliminati. I dati sono stati recuperati da backup offsite e apparentemente i buchi sono stati ostruiti.

Non sono IT e non sono del tutto familiare con quello che è successo ma da quando è stato licenziato l'intero team di sicurezza, si dice che si trattasse di un semplice attacco SQL injection. Non sono chiaro su quanto accesso hanno. I nostri sistemi sono un mix di Windows 7 / RHEL 6.7 / BOSS 6.0

Ora, dopo il ripristino, scopro che diverse centinaia di file iptables sono stati aggiunti alla memoria utente. Sono stati aggiunti il mese scorso durante la violazione e IT mi ha detto che non sono motivo di preoccupazione e non arrecheranno alcun danno. Inoltre, non ho mai avuto accesso a siti personali da quelle macchine e tutte le password e i dati biometrici sono stati ripristinati.

Ecco i contenuti di uno solo dei file: link

La mia domanda è: perché qualcuno dovrebbe farlo e dovrei essere preoccupato?

    
posta RaunakS 28.04.2016 - 17:29
fonte

1 risposta

2

Ovviamente hanno cambiato le regole per fermare gli hacker

Chain DENYIN scopo esclusivo è una lista nera di indirizzi IP. Ovviamente, questa lista è stata ricavata dai file di log come fonti di attacco.

Catena DENYOUT Chiaramente è pensato per registrare e rilasciare le connessioni in uscita verso la lista degli indirizzi IP in attacco. Nel caso in cui siano ancora nel sistema.

Catena NON VALIDA È per pacchetti che non dovrebbero accadere sulla tua rete.

Le regole sembrano buone, ma come hai detto questa è solo una parte delle tue regole. Un hacker non metterebbe le regole in atto per bloccare se stessi in quanto è controproducente.

Chi ha scritto queste regole sa qualcosa sulla sicurezza. Tuttavia, dovrebbero utilizzare ipset in combinazione con le tabelle IP per l'efficienza in quanto le eccessive regole di iptables utilizzano cicli di CPU aggiuntivi. Tuttavia, sono stati abbastanza intelligenti da dividere il traffico in catene per renderlo almeno un po 'più facile.

Tuttavia, con un criterio INPUT di rilascio e rendendo l'ultima regola in INPUT rilasciata, solo in caso di molte altre gocce non sono necessarie. Tranne le ultime 3 righe di log TUTTE LOGDROPIN sono ridondanti (538-555).

Il fatto che non ci siano sottoreti come (/ 30) o qualsiasi cosa renda facile per un hacker fare +1 sul proprio indirizzo IP e possibile rompere di nuovo. Alcuni IP potresti non essere in grado di subnet mask, ma molti di loro lo puoi fare. Se si scopre che hanno usato un Amazon, Google, Microsoft Cloud Server, non è possibile bloccare tutto di Amazon, Google, Microsoft, non ha senso.

Non sto verificando TUTTE le tue regole perché non vengo pagato, tuttavia ti ho dato alcune buone informazioni generali. Non pubblicare tutte le tue regole, comunque per me, non sto facendo un controllo gratuito dell'intero sistema.

    
risposta data 01.05.2016 - 22:13
fonte

Leggi altre domande sui tag