해킹 된 서버가 해킹 된 방법 찾기

방금 사이트를 탐색 하고이 질문을 찾았습니다. 내 서버가 EMERGENCY 해킹되었습니다 . 기본적으로 질문 : 내 서버가 해킹되었습니다. 어떻게해야합니까?

가장 좋은 대답은 우수하지만 내 마음에 몇 가지 질문을 제기했다. 제안 된 단계 중 하나는 다음과 같습니다.

'공격 된'시스템을 조사하여 공격이 보안을 손상시키는 데 성공한 방법을 이해하십시오. 공격이 어디에서 발생했는지 파악하기 위해 모든 노력을 기울여서 향후 어떤 문제가 발생했는지 이해하고 향후 시스템을 안전하게 유지하기 위해 해결해야합니다.

시스템 관리자 작업을 수행하지 않았으므로 어떻게 시작하는지 모르겠습니다. 첫 번째 단계는 무엇입니까? 서버 로그 파일을 볼 수는 있지만 공격자로서 가장 먼저 할 일은 로그 파일을 지우는 것입니다. 공격이 어떻게 성공했는지 "어떻게 이해"하시겠습니까?

나는 당신이있는 경우,이 말에 의해 시작합니다 NO LOG 파일을 , 다음 것을 합리적으로 좋은 기회가 결코 곳이나 공격이 성공하는 방법을 이해하지는. 완전하고 적절한 로그 파일이 있더라도 누가, 무엇을, 어디서, 언제, 왜, 어떻게 완전히 이해하는 것은 매우 어려울 수 있습니다.

따라서 로그 파일이 얼마나 중요한지 알고 있으면 보관하는 것이 얼마나 안전한지 이해하기 시작합니다. 그렇기 때문에 기업들은 보안 정보 및 이벤트 관리 또는 SIEM에 단기적 으로 투자해야합니다 .

간단히 말해서 모든 로그 파일을 특정 이벤트 (시간 기반 또는 기타)에 상관시키는 것은 매우 어려운 작업이 될 수 있습니다. 내 말을 믿지 않으면 디버그 모드에서 방화벽 syslog를 살펴보십시오. 그리고 그것은 하나의 기기에서 온 것입니다! SIEM 프로세스는 이러한 로그 파일을 일련의 논리적 이벤트에 배치하여 발생한 상황을 파악하고 이해하기 쉽게 만듭니다.

방법을 더 잘 이해하려면 침투 방법론 을 연구하는 것이 도움이됩니다 .

바이러스 가 어떻게 작성 되는지 아는 것도 도움이됩니다 . 또는 루트킷 을 작성하는 방법 .

허니팟 을 설치하고 연구하는 것도 매우 유익 할 수 있습니다 .

그것은 또한 가지고하는 데 도움이 로그 파서를 하고 될 실력이 그것.

네트워크 및 시스템의 기준을 수집하는 것이 좋습니다. 상황에서 "정상적인"트래픽과 "비정상적인"트래픽은 무엇입니까?

CERT 는 컴퓨터가 해킹 된 후 무엇을해야하는지에 대한 훌륭한 가이드를 제공합니다. 특히 "침입 분석"섹션에서 특정 질문과 직접 ​​관련이 있습니다.

• 시스템 소프트웨어 및 구성 파일의 수정 사항 찾기
• 데이터 수정 사항 찾기
• 침입자가 남긴 도구와 데이터 찾기
• 로그 파일 검토
• 네트워크 스니퍼의 징후를 찾으십시오
• 네트워크의 다른 시스템 확인
• 원격 사이트에 관련되거나 영향을받는 시스템 확인

SF와 관련하여 귀하와 비슷한 질문이 많이 있습니다.

1. 서버 해킹의 사후 검사를 수행하는 방법
2. 호스트 파일 및 Netstat의 이상한 항목
3. 이것은 해킹 시도입니까?
4. 해킹이나 보안 관점에서 리눅스를 배우는 방법

이것은 매우 복잡하고 복잡한 프로세스 일 수 있습니다. 필자가 포함한 대부분의 사람들은 SIEM 어플라이언스가 구성 할 수있는 것보다 더 관여 할 경우 컨설턴트를 고용 할 것입니다.

만약 당신이 원하는 경우에, 분명히, 완전히 당신의 시스템이 해킹 된 방법을 이해, 당신은 지출해야 년 을 공부 하고 여성을 제공합니다.

그 작은 부분에 대한 답은 폭이 백만 마일에 달할 수 있으며 해킹 된 서버에서 발생한 일을 선택하는 것은 다른 것만큼이나 예술적인 것이 될 수 있습니다. 따라서 다시 결정적인 세트가 아닌 시작점과 예제를 제공하겠습니다. 따라야 할 단계.

염두에 두어야 할 것은 침입에 직면하면 코드, 시스템 관리 / 구성 및 절차를 확실히 약점이 있다는 지식으로 감사 할 수 있다는 것입니다. 그것은 거기에있을 수도 있고 없을 수도있는 이론적 인 약점을 찾는 것보다 동기를 부여하는 데 도움이됩니다. 사람들이 코드를 조금 더 감사 할 수 있다는 것을 알고있는 동안 사람들은 온라인에 물건을 넣는 경우가 종종 있습니다. 또는 시스템이 불편하지 않은 경우 시스템이 좀 더 단단하게 고정되었습니다. 또는 상사가 긴 암호를 기억하는 것이 귀찮은 것이 아니라면 절차가 조금 더 단단해졌습니다. 우리는 모두 가장 약한 지점이 어디 있는지 알고 있으므로 그 지점부터 시작하십시오.

이상적인 환경에서는 서버뿐만 아니라 트래픽을 기록하는 방화벽, 라우터 등 의 다른 syslog 서버 에 로그를 저장하게됩니다 . 시스템을 분석하고 약점을 찾을 수있는 Nessus 와 같은 도구도 있습니다 .

타사의 소프트웨어 / 프레임 워크의 경우 배포를 감사하는 데 사용할 수있는 모범 사례 가이드가 있거나 보안 뉴스 및 패치 일정에 더주의를 기울이고 사용 된 일부 취약점을 발견 할 수 있습니다.

마지막으로, 대부분의 침입은 발견 할 시간과 인내심이 있다면 스 푸어를 남깁니다. 해킹 툴킷을 사용하는 "드라이브 바이"스크립트 아동 침입 또는 침입은 일반적인 취약점에 초점을 맞추는 경향이 있으며 올바른 방향으로 향하는 패턴을 남길 수 있습니다. 분석하기 가장 어려운 것은 수동 지시 침입 일 수 있습니다 (예 : 누군가 "a"웹 사이트를 해킹하고 싶지 않고 대신 "귀하의"웹 사이트를 해킹하고 싶었 음). 물론 이들을 이해하는 것이 가장 중요합니다.

실제로 어디에서 시작해야하는지 모르는 사람 (또는 다른 직무를 수행하는 숙련 된 사람)에게는 첫 번째 단계는 아마도 위의 단계를 잘 경험 한 사람을 고용하는 것입니다. 이 접근 방식의 또 다른 장점은 사전 개념이나 대답에 대한 개인적인 이해 관계없이 설정을 볼 수 있다는 것입니다.

"서버 로그 파일을 볼 수는 있지만 공격자는 먼저 로그 파일을 지우는 것이 좋습니다."

손상 유형에 따라 공격자는 손상된 서버에 대해 로그를 삭제할 수있는 권한이 충분하지 않을 수 있습니다. 또한 탬 퍼링 (특정 간격으로 자동으로 내보냄)을 방지하기 위해 서버 로그를 다른 서버에서 오프 박스로 유지하는 것이 좋습니다.

손상된 서버 로그 외에도 디렉토리 서비스의 인증 로그뿐만 아니라 네트워킹 로그 (방화벽, 라우터 등)와 Active Directory, RADIUS 등이 여전히있는 경우

따라서 로그를 보는 것이 여전히 수행 할 수있는 가장 좋은 방법 중 하나입니다.

손상된 상자를 다룰 때 로그를 탐색하는 것은 항상 일어난 일을 함께 정리하는 주요 방법 중 하나입니다.

-조롱