리눅스 박스가 해킹 된 후 법의학 분석을 수행하는 주요 단계는 무엇입니까?
그것이 일반적인 리눅스 서버 메일 / 웹 / 데이터베이스 / ftp / ssh / samba라고 가정 해 봅시다. 그리고 스팸을 보내면서 다른 시스템을 검사하기 시작했습니다. 해킹이 수행 된 방법과 누가 책임을 찾기 시작 하는가?
리눅스 박스가 해킹 된 후 법의학 분석을 수행하는 주요 단계는 무엇입니까?
그것이 일반적인 리눅스 서버 메일 / 웹 / 데이터베이스 / ftp / ssh / samba라고 가정 해 봅시다. 그리고 스팸을 보내면서 다른 시스템을 검사하기 시작했습니다. 해킹이 수행 된 방법과 누가 책임을 찾기 시작 하는가?
답변:
재부팅하기 전에 시도해야 할 사항은 다음과 같습니다.
우선, 손상된 것으로 생각되면 네트워크 케이블을 분리하여 기기가 더 이상 손상되지 않도록하십시오.
그런 다음 가능한 경우 재부팅을 삼가십시오. 재부팅 하면 침입자의 흔적을 제거 할 수 있습니다.
미리 생각하고 원격 로깅 을 수행 한 경우 누군가가 머신의 로그를 조작하기가 너무 쉽기 때문에 머신의 로그가 아닌 원격 로그를 사용하십시오. 그러나 원격 로그가없는 경우 로컬 로그를 철저히 검사하십시오.
재부팅시 교체되므로 dmesg를 확인하십시오 .
리눅스에서는 실행중인 파일이 삭제 된 후에도 실행중인 프로그램을 가질 수 있습니다. 명령 파일 / proc / [0-9] * / exe | grep "(deleted)" 로이를 확인하십시오 . (물론 재부팅하면 사라집니다). 실행중인 프로그램의 사본을 디스크에 저장하려면 / bin / dd if = / proc / filename / exe of = filename을 사용하십시오.
당신이 경우 좋은 사본 알려진 사람 / PS / LS / NETSTAT의를 상자에에 무슨 일이 일어나고 있는지 검사하기 위해 이러한 도구를 사용합니다. 경우주의 루트킷이 설치되고,이 유틸리티는 일반적으로 정확한 정보를 제공하지 않습니다 사본으로 대체됩니다.
그것은 완전히 해킹 된 것에 달려 있지만 일반적으로
부적절하게 수정 된 파일의 타임 스탬프를 확인하고 성공적인 ssh (/ var / log / auth *에 있음) 및 ftp (/ varftp를 서버로 사용하는 경우 / var / log / vsftp *에 있음)를 사용하여 해당 시간을 상호 참조하십시오. 어떤 계정이 손상되었고 어떤 IP에서 공격이 발생했는지 확인하십시오.
동일한 계정에서 로그인 시도가 많이 실패한 경우 계정이 무차별 상태인지 확인할 수 있습니다. 해당 계정에 대해 로그인 시도가 실패했거나 몇 번 실패한 경우 다른 방법으로 암호를 발견했을 수 있으며 해당 계정의 소유자는 암호 안전에 대한 강의가 필요합니다.
IP가 근처 어딘가에서 "내부 작업"일 수 있습니다
루트 계정이 손상되면 당연히 큰 어려움에 처하게되며 가능하면 상자를 처음부터 다시 포맷하고 다시 작성해야합니다. 물론 모든 비밀번호를 변경해야합니다.
나아!
당신은 종료 인터페이스 만 읽기에 하드 디스크를 연결해야합니다 (이 특별한 IDE 나 SATA 또는 USB, 등등 ... 모든 쓰기를 허용하지 않는 인터페이스,이 같은 뭔가 : HTTP : //www.forensic- computers.com/handBridges.php )을 사용하여 DD로 정확하게 속이십시오.
다른 하드 드라이브로 수행하거나 디스크 이미지로 수행 할 수 있습니다.
그런 다음 하드 디스크를 적절하고 안전한 장소에 보관하십시오.
나중에 복제 된 디스크 나 이미지를 법의학 컴퓨터에 꽂을 수 있습니다. 디스크 인 경우 읽기 전용 인터페이스를 통해 꽂아야하며 이미지 작업을하려면 '읽기 전용'으로 마운트하십시오.
그런 다음 데이터를 변경하지 않고 반복해서 작업 할 수 있습니다.
참고로, 실습을 위해 인터넷에 "해킹 된"시스템 이미지가 있으므로 "집에서"법의학을 수행 할 수 있습니다.
추신 : 해킹 된 시스템은 무너 졌습니까? 시스템이 손상되었다고 생각되면 연결된 상태로 두지 않고 새 하드 디스크를 넣고 법의학이 끝날 때까지 백업을 복원하거나 새 서버를 프로덕션에 배치합니다.
메모리 덤프를 가져 와서 Second Look 과 같은 메모리 포렌식 도구로 분석하십시오 .
먼저 스스로에게 물어보십시오 : "왜?"
다음과 같은 이유가 있습니다.
그 이상으로 넘어가는 것은 종종 의미가 없습니다. 경찰은 종종 신경 쓰지 않으며, 만약 그렇다면, 하드웨어를 강요하고 자신의 법의학 분석을 수행합니다.
찾은 내용에 따라 인생을 더 쉽게 만들 수 있습니다. SMTP 릴레이가 손상되어 외부에서 악용 된 패치가 누락 된 것으로 판단되면 완료된 것입니다. 상자를 다시 설치하고 패치가 필요한 것은 패치하고 계속하십시오.
"법의학 (forensics)"이라는 단어가 나오면 사람들은 CSI에 대한 비전을 갖고 무슨 일이 있었는지에 대한 모든 종류의 끔찍한 세부 사항을 알아낼 생각을합니다. 그럴 수도 있지만, 필요하지 않으면 크게 들지 마십시오.
SANS Institute의 기사 인 " Dead Linux Machines Do Tell Tales "를 읽는 것이 좋습니다 . 2003 년이되었지만 오늘날에도 여전히 유용한 정보입니다.