Tracciamento dei compromessi della radice

0

Riguardo a quanto segue:

Sembra che ci sia un sacco di server Redhat che si trovano nella backdoor tramite una libreria. Qualcuno ha consigli su come tracciare e trovare la violazione iniziale del contatto?

    
posta C0de r3d 19.02.2013 - 21:41
fonte

2 risposte

2

In quel caso specifico, per quanto ho capito, il compromesso iniziale è stato fatto risalire a un sistema compromesso in cPanel . La violazione ha permesso l'attacco indiretto di alcuni sistemi che usano cPanel, e l'attaccante aveva l'abitudine di installare un rootkit che mise una backdoor in SSH.

La metodologia generale per capire cosa è successo e whodunnit è la stessa che in ogni caso di debug post mortem: raccogliere dati e amp; Pensare a fondo. Se molte macchine sono state compromesse, prova a capire cosa hanno in comune. Ispeziona tutti i file di registro. Prendi un'immagine byte-to-byte del disco rigido di una macchina interessata e vedi se ci sono cose interessanti nei file eliminati (la maggior parte degli attaccanti coprirà le loro tracce cancellando i file temporanei che hanno usato, ma pochi si preoccuperanno di riempire effettivamente il disco corrispondente aree con zeri). Questo è chiamato forensics ed è una competenza a sé stante.

    
risposta data 01.03.2013 - 23:01
fonte
1

Credo che un buon firewall o firewall di livello di aplication possa ridurre il tempo di risposta altrimenti richiesto in analisi approfondite come la scientifica. Credo anche che in caso di attacco complicato non è sufficiente una casella forense a seconda della portata dell'indagine, tutti i sistemi inclusi dispositivi di rete, dns e server ridondanti devono essere messi per lo stesso. A volte gli indizi vengono lasciati al posto dove meno te lo aspetti. Puoi dire o seguire il percorso di distruzione solo se hai i controlli ai livelli richiesti. Senza i controlli completi, non sapresti mai da dove proviene l'attacco, per esempio un impiegato scontato attraverso il server vlan è uno.

C'è una grossa differenza in relazione al risultato dell'esecuzione di analisi forensi quando si sta eseguendo un computer morto e asciutto rispetto a un sistema con funzionalità di controllo completo e nelle versioni superiori solo il software per controllare tali violazioni. Gli artefatti sono abbondanti in quest'ultimo caso.

    
risposta data 01.03.2013 - 23:18
fonte

Leggi altre domande sui tag