Tracciamento dei compromessi della radice

In quel caso specifico, per quanto ho capito, il compromesso iniziale è stato fatto risalire a un sistema compromesso in cPanel . La violazione ha permesso l'attacco indiretto di alcuni sistemi che usano cPanel, e l'attaccante aveva l'abitudine di installare un rootkit che mise una backdoor in SSH.

La metodologia generale per capire cosa è successo e whodunnit è la stessa che in ogni caso di debug post mortem: raccogliere dati e amp; Pensare a fondo. Se molte macchine sono state compromesse, prova a capire cosa hanno in comune. Ispeziona tutti i file di registro. Prendi un'immagine byte-to-byte del disco rigido di una macchina interessata e vedi se ci sono cose interessanti nei file eliminati (la maggior parte degli attaccanti coprirà le loro tracce cancellando i file temporanei che hanno usato, ma pochi si preoccuperanno di riempire effettivamente il disco corrispondente aree con zeri). Questo è chiamato forensics ed è una competenza a sé stante.

Credo che un buon firewall o firewall di livello di aplication possa ridurre il tempo di risposta altrimenti richiesto in analisi approfondite come la scientifica. Credo anche che in caso di attacco complicato non è sufficiente una casella forense a seconda della portata dell'indagine, tutti i sistemi inclusi dispositivi di rete, dns e server ridondanti devono essere messi per lo stesso. A volte gli indizi vengono lasciati al posto dove meno te lo aspetti. Puoi dire o seguire il percorso di distruzione solo se hai i controlli ai livelli richiesti. Senza i controlli completi, non sapresti mai da dove proviene l'attacco, per esempio un impiegato scontato attraverso il server vlan è uno.

C'è una grossa differenza in relazione al risultato dell'esecuzione di analisi forensi quando si sta eseguendo un computer morto e asciutto rispetto a un sistema con funzionalità di controllo completo e nelle versioni superiori solo il software per controllare tali violazioni. Gli artefatti sono abbondanti in quest'ultimo caso.