如何处理受保护的服务器?

分享于 

19分钟阅读

互联网

  繁體 雙語

问题:

这是一个规范问题( 关于服务器安全响应入侵事件)
另请参见:

规范版本
我怀疑一个或者多个服务器受到黑客,病毒或者其他机制的威胁:

  • 我的第一步是什么? 当我到达站点时,是否要断开服务器,保留"evidence",是否有其他的初始注意事项?
  • 如何让服务恢复联机?
  • 我如何防止同样的事情立即发生?
  • 是否有最佳实践或者方法来学习这个事件?
  • 如果我想将事件响应计划放在一起,我将从哪里开始? 这是我的灾难恢复或者业务连续性计划的一部分?

原始版本

我正忙着进入一个星期日,因为我们的服务器已经受到了compromised的攻击,并导致了我们的提供商的 DOS攻击。 已经关闭了对Internet的服务器访问,这意味着我们的客户机站点现在已经停止了 5 -600. 这可能是一个 FTP hack,或者某些代码中的一些弱点。 我不确定直到我到达那里。

我怎么能快速追踪到这个? 如果我不让服务器快速备份,我们正在进行很多的诉讼。 感谢你的帮助。我们正在运行 SUSE 11.0.

2011.01.03 感谢大家的帮助。 幸好我不是唯一负责这个服务器的人,只是最近的。 尽管我们在不同的情况下,它可以能不适用于许多它的他问题,但我们。 我将详细介绍我们所做的。

我们把服务器从网络上拔了出来。 它在希伯来的另一台服务器上执行( 正在尝试执行) 拒绝服务攻击,而且这个犯罪方也基于这里。

在服务器上,我们首先尝试确定服务器的位置,考虑到服务器上有超过 500个站点,我们希望在某些时候是 moonlighting。 但是,使用SSH访问,我们运行一个命令来查找在攻击开始时编辑或者创建的所有文件。 幸运的是,在冬季假期创建了错误的文件,这意味着在服务器上没有创建许多它的他文件。

然后,我们能够识别出在 ZenCart网站上上传的图像文件夹中的错误文件。

经过一段短暂的香烟休息后,我们得出了,由于文件的位置,它必须通过一个文件上传设施上传,在一个。 在一些谷歌之后,我们发现有一个安全漏洞,允许文件上传,在ZenCart管理面板的图片公司。 ( 它从未真正使用过这个表单) 上传了任何文件,它没有检查文件的扩展。

这意味着可以上传任何文件,包括一个用于攻击的PHP文件。 我们在受感染的站点上使用ZenCart保护了漏洞,并删除了。

工作完成了,我在家 for 2 a.m.。

道德 - 总是为ZenCart应用安全补丁,或者任何其他CMS系统。 当发布安全更新时,整个世界都会意识到漏洞。 - 始终进行备份,并备份备份。 - 使用或者安排将在这样的时间内进行的某人。 防止任何人依赖服务器故障中的panicy日志。


回答 1:

这听起来有点像你的头,好吧。 打电话给你的老板,开始协商紧急安全响应预算。 $10,000可能是一个开始的好地方。 然后你需要找一些( 一个 PFY,一个同事,一个经理) 来呼叫专门针对安全事件响应的公司。 很多人可以在 24小时内响应,如果他们在你的城市中有一个 Office,则会更快。

你还需要有人来对客户进行分类;当然,有人已经。 有人需要在电话上和他们解释什么正在发生,正在做什么来处理情况,并回答他们的问题。

那么,你需要。

  • 保持静静。如果你负责事件响应,你现在需要做的就是演示最高职业和领导。 记录你所做的一切,并保持你的经理和执行团队通知你采取的主要操作。 他们不需要细细的细节,但是他们每隔 30分钟就可以从你那里听到。

  • 真实,你不是一个安全专业人士,而且你不知道。 当登录到服务器并查看数据时,你需要了解你的限制。 轻轻地踏步。在调查过程中,确保不要踏上重要信息或者更改后面需要的东西。 如果你觉得不舒服或者你想要,那就是停止和获得经验有经验的专业人士的好地方。

  • 获得干净的USB棒和备用硬盘。 你会在这里收集证据。 备份可以能有关的所有内容;与你的ISP,网络转储,等等,如果法律实施,证明你的公司。

  • 最重要的是停止损失。 识别和切断对危及服务,数据和机器的访问。 最好是拉他们的网线;如果不能,就把电源拉出来。

  • 接下来,你需要删除攻击者并关闭 hole(s)。 攻击者可能不再具有交互式访问权限,因为你已经在。 现在你需要识别。文档( 使用备份。截图和你自己的个人观测注释;或者通过删除受影响的服务器上的驱动器。),然后删除他在后面留下的任何代码和进程。 如果你没有备份,那么下一部分将会吸引你,你可以尝试从系统中解除攻击者。 rootkit是恶性的,并不是所有的都能检测到。 最好的响应是识别他过去的漏洞,制作影像副本,然后清除受影响的系统并重新加载。 不要盲目地信任你的备份;验证它 ! 在新主机再次进入网络之前修复或者关闭漏洞,然后将它的联机。

  • 将所有数据组织到报表中。 此时漏洞已经关闭,你有一些时间来呼吸。 不要试图跳过这个步骤;它比过程的其他部分更重要。 在报告中,你需要确定出现了什么错误,团队的响应以及防止这里事件再次发生的步骤。 尽可以能详细地说明;这不仅仅是为了你,而是对于你的管理和一个潜在的诉讼。

  • 这是对该做什么的高度回顾;大部分工作只是文档和备份处理。 别紧张,你能做到的。 我强烈建议你提供专业的安全帮助。 即使你可以处理正在发生的事情,他们的帮助也是非常有价值的,它们通常带有设备。 如果你的老板balks付出代价,请提醒他,与处理诉讼相比,它非常小。

    你有我的consolations为你的情况。 好运。


回答 2:

CERT有一个文档步骤用于从UNIX或者NT系统中恢复,这是很好的。 这个文件的具体技术细节有些过时,但是大量的通用建议仍然直接应用。

下面是基本步骤的简要总结。

  • 咨询你的安全策略或者管理。
  • 获取控制( 使计算机脱机)
  • 分析入侵,获取日志,找出出错的地方
  • 修理物品
    • 安装你的操作系统的干净版本 ! 如果系统已经被破坏,你不能信任它,句号。
  • 更新系统,这样就不会再发生
  • 恢复操作
  • 为将来和文档更新你的策略

我想特别指出 E.1.

E.1.请记住,如果计算机被破坏,那么该系统上的任何内容都可以修改,包括内核,二进制,,和内存。 一般来说,信任机器的唯一方法是免费的,入侵者修改是重新安装操作。

如果你没有像tripwire这样的系统,你就没有办法 100%你已经清理了系统。


回答 3:

  • 确定问题的 读取日志。
  • 包含你已经断开服务器的连接,因此已经完成。
  • 取消重新安装影响系统,最可能的。 不要抹掉黑客的硬盘,使用一个新的。 更安全的是,你可以能需要旧的人来恢复未备份的恶意攻击,并做出检查来发现发生了什么。
  • 恢复 whatever需要什么并恢复备份以使你的客户在线。
  • 跟踪找出问题的原因,并阻止它再次出现。

回答 4:

robert"答案是点,但完全通用( 如你的问题) pill。 如果你有一个服务器和 600个客户机,那么你现在有一个管理问题。

我在这种情况下提供了一些手持公司,所以我处理了许多损坏的机器,同时处理我们自己。 我们总是告诉受损客户重建,除非他们不完全确定折扣的性质。 长期内没有其他责任的路线。

不过,你几乎肯定只是一个脚本小孩的受害者,他想要为DoS攻击或者 IRC bouncers,或者与你的客户的站点和数据完全无关的pad。 因这里,作为重建时的临时测量,你可能会考虑在你的盒子中引发重大的出站防火墙。 如果你可以阻止站点的所有出站UDP和TCP连接,你可以轻松地使用你的网络。

如果你以前还没有完成这里过程,可能需要几个小时,并且从未考虑过防火墙,但可能会帮助你恢复客户端的服务,从而使你的客户端能够访问你的客户的数据服务。 因为你在一台机器上有数百个客户,我猜你是为小型企业承载小册子网站,而不是 600个电子商务系统。 if,如果你的系统比审核 600站点更快,让你的系统恢复在线,你会收到任何回复,你会收到任何信息。 但是你会知道什么数据是在那里的,你会如何舒适的选择这个决定。

这绝对不是最佳做法,但是如果你的雇主happening你 so wagging你的手指 wagging SWAT SWAT SWAT SWAT SWAT SWAT SWAT SWAT SWAT SWAT SWAT option option option option。

这里的isp帮助非常重要- 一些isp提供了控制台服务器和网络引导环境,可以在与服务器断开连接时管理服务器。 如果这是一个选择,请要求它并使用它。

但在长期以来,你应该根据robert的文章和每个站点的设置来计划系统重构。 在你的团队中找不到系统管理员,请查找一个托管托管主机,处理你为你的ISP支付的服务和 24-hour 响应,以获得这里类型的服务。 祝你好运:


回答 5:

你需要安装。保存你真正需要的东西。 但是记住,所有可以运行的文件可能被感染和篡改。 我在 python 中编写了以下内容: 在给定目录下创建所有文件,并在下一次运行该文件时,它会检查是否已经更改,然后输出更改的文件以及文件中更改的内容。

这对你来说很方便,看看奇怪的文件是否经常改变。

但是你现在唯一要做的就是把你的电脑从互联网上删除。


回答 6:

注意:这不是推荐建议。 对于我的特定事件响应协议,可能不会被修改为以Grant的方式授予 unwin。

在我们的学术设施中,大约有 300个研究人员。 你有 600个客户端,因此你的协议可能会不同。

当服务器受到妥协协议时,我们的中的第一个步骤是:

  • 确定攻击者能够获得 root ( 提升的特权)
  • 拔下受影响的server(s)。网络或者电源? 请参见单独讨论。
  • 检查所有其他系统
  • 从LiveCD引导受影响的服务器
  • ( 可选) 用 dd 抓取所有系统驱动器的映像
  • 先从尸检开始。 查看日志,找出攻击时间,找到那时修改过的文件。 试着回答这个问题? 问题。

    • 并行地计划和执行恢复。
    • 恢复服务之前重置所有 root 和用户密码
  • 即使"所有后门和rootkit都清理干净",不要相信系统是从头开始安装的。


回答 7:

根据我的经验,系统对Linux的妥协往往比在上的更多。 root 工具包更有可以能包括用定制代码替换系统二进制文件,以及对内核进行修补的障碍。 另外,它是很多恶意软件作者的家庭操作系统。 通常指导是从头开始重建受影响的服务器,因为它是一个原因的一般指导。

设置小狗格式。

但是,如果你不能重建,你会怎样做?

因为入侵已经发生了一段时间,并且已经进行了系统还原,因这里很可以能在stomped中恢复服务。 Unfortunate。

不寻常的网络流量可以能是最容易找到的,因为这并不涉及在框中运行任何内容。 当然,你的网络 gear 允许端口生成。 你发现的也许是诊断,但至少它是信息。 得到异常的流量将是强大的证据,系统仍然受到威胁,需要扁平化。 这可以能很好地让TPTB认为,真正的格式化真实,真正值得停机。

如果这样做失败,请将系统分区的一个副本复制到另一个框中。 开始将内容与被破坏的服务器在同一修补级别上的内容进行比较。 它应该能帮助你识别出不同的( 那些 md5sums ),并可能指向受保护服务器上的。 这是很多通过目录和二进制文件进行筛选的,而且是相当强大的。 它甚至可以能比重新格式化更重要,也可以能是另一件事情,实际上需要重新格式化 TPTB。


回答 8:

i,@Aleksandr,@blueben,,Bloch,responses,responses,responses,responses,responses,responses,responses。

不过,不同海报的答案不同- 有些是更高级别的,并且讨论你应该在哪里使用( 一般情况下)。

i prefer,AKA,AKA,AKA,identify,identify,identify,Triage,Triage,Triage,Triage,Triage,Triage,Triage,Triage,Triage,Triage,Triage,Triage,Triage。

( 根据以前的经验,在这里插入 boilerplate SANS认证的回复声明),我将说以下内容:

无论你如何处理客户响应。通知。法律和未来计划,我都更倾向于关注当前的主要问题。 最初的问题实际上只属于 #2 和 #3,,如何停止攻击,使客户在最初的状态下恢复。

它的余的响应很大,并且覆盖了许多确定的最佳实践和方法,以防止未来发生。

它确实取决于运算的预算和行业的哪些行业,它们所需的解决方案等等。

也许他们需要租用一个专门的现场 SA。 也许他们需要一个安全人员。 或者他们需要一个完全托管的解决方案,比如Firehost或者Rackspace管理,Softlayer,ServePath等。

这真的取决于他们的业务。 也许他们的核心能力不在服务器管理中,对他们进行开发是没有意义的。 或者,也许他们已经是一个良好的技术组织,可以做出正确的招聘决定和专业团队。


回答 9:

在开始工作并查看服务器之后,我们已经解决了这个问题。 幸运的是,当 Office 关闭并且不应该创建文件和缓存文件时,将在星期日上传到系统。 使用简单 shell 命令找出在那一天创建的文件,我们找到了它们。

所有有缺陷的文件似乎已经在我们的一些旧zencart站点上的/images/文件夹中。 看起来有一个安全漏洞允许( 使用 curl ) 任何傻瓜在管理部分上上传非图像到图像上传部分。 我们删除了错误的. php 文件,并修复了上传脚本以dissallow上传的任何文件上传。

回想起来,这是非常简单的,我在iPhone上提出了这个问题。 感谢你的帮助。

对于将来访问这篇文章的人的参考。 我将不推荐 pull建议拔出电源插头。


回答 10:

我对广泛的技术回答没有贡献,但请注意其中的一些:

非技术操作:
  • 内部报告事件的费用。
    如果还没有事件响应计划可能出现CYA技术,但是it部门并不是确定受保护服务器的业务影响的唯一位置,而且常常不是最佳的地方。
    业务需求可能会影响你的技术关注。 不要说"我告诉过你"和业务关注的优先级是你在第一次使用该受损服务器的原因。 ( 在行动报告后留下。 )

  • 掩盖一个安全事件不是一个办法。

  • 向当地机构报告
    in不是法律建议的地方,但这是一个应该包含在事件响应计划中的方法。
    在某些地区和/或者监管行业,必须向当地法律实施报告( 一定) 安全事件,调整机构或者通知受影响的客户/用户。
    不管如何,报告和实际报告都不只在it部门进行。 期待管理和法律和公司通信( 营销) 部门的参与。
    网络是一个很大的地方,但是很多警局部门的网络犯罪部门都会解决数字犯罪。



COM  Server  
相关文章