Il server di Exchange sospetto sembra essere compromesso. Come determinare se si tratta di un falso positivo?

2

Il nostro fornitore di sicurezza ha rilevato che il server CAS del nostro cliente stava eseguendo una scansione Nessus nella rete interna.

Non è raro che questo venditore emetta un falso positivo, ma sto cercando una guida generale su come dovrei analizzare questo server basato su Windows se è stato effettivamente tentato un attacco.

  • Quali file potrebbero essere lasciati?

  • Che cosa potrebbe essere modificato?

  • Come posso raccogliere in modo sicuro informazioni sufficienti per sapere se è necessario nuoterli dall'orbita.

posta random65537 19.02.2013 - 17:04
fonte

2 risposte

1

La vulnerabilità potrebbe essere simile alla scansione di routine? tutto il cappello bianco fatto dalla squadra sec. In questo caso è possibile verificare tramite i registri dei firewall (a seconda che il traffico passi attraverso di essi). Puoi utilizzare lo strumento chiamato volatilità per analizzare eventuali modifiche nella RAM o nel file system. Ti dà l'analisi istantanea dello stato attuale della sicurezza di calcolo.

    
risposta data 04.03.2013 - 20:15
fonte
1

Qualsiasi buon amministratore di sistema saprà quali file si trovano sul server della sua azienda e quali sono in quei file.

La prima cosa che vuoi fare è usare un programma o scrivere uno script per prendere nota di tutti i file sul disco rigido. Il modo più sicuro per farlo sarebbe quello di montare il disco rigido su un sistema operativo funzionante noto in modo che il sistema operativo non nasconda alcun file da te. Prendi nota di ciò e tienilo in un posto sicuro.

La prossima cosa che fai è creare un checksum per ciascuno di quei file elencati e tenerlo in un posto sicuro.

Questo processo andrà bene con i backup del tuo server perché saprai da dove eseguire il ripristino.

Ogni volta che sospetti e ti intrighi, controllerai per vedere quali file sono stati aggiunti al sistema e verifica l'integrità dei file con il checksum. Ci saranno alcuni file che falliranno sempre, naturalmente, come i file di registro. Ma vorrai contrassegnare i file che sono stati modificati a tua insaputa, come i file di avvio oi file di sistema.

Una risorsa aggiuntiva potrebbe essere quella di analizzare il traffico dal server. Raccogli tutte le informazioni che puoi per essere d'aiuto in uscita, porta server, dove sta andando il traffico, ecc.

In genere un sistema compromesso sta cercando di inviare informazioni su Internet. Essendo che si trattava di un server di scambio, potrebbe essere usato per inviare spam alle e-mail in modo che non sembrasse strano.

Un sacco di intrusioni possono essere rilevate anche con l'anti virus, ma ovviamente ciò non significa la tua sicurezza!

    
risposta data 19.02.2013 - 19:14
fonte