리눅스 박스가 해킹 된 후 법의학 분석을 수행하는 주요 단계는 무엇입니까?


15

리눅스 박스가 해킹 된 후 법의학 분석을 수행하는 주요 단계는 무엇입니까?

그것이 일반적인 리눅스 서버 메일 / 웹 / 데이터베이스 / ftp / ssh / samba라고 가정 해 봅시다. 그리고 스팸을 보내면서 다른 시스템을 검사하기 시작했습니다. 해킹이 수행 된 방법과 누가 책임을 찾기 시작 하는가?

답변:


11

재부팅하기 전에 시도해야 할 사항은 다음과 같습니다.

우선, 손상된 것으로 생각되면 네트워크 케이블을 분리하여 기기가 더 이상 손상되지 않도록하십시오.

그런 다음 가능한 경우 재부팅을 삼가십시오. 재부팅 하면 침입자의 흔적을 제거 할 수 있습니다.

미리 생각하고 원격 로깅 을 수행 한 경우 누군가가 머신의 로그를 조작하기가 너무 쉽기 때문에 머신의 로그가 아닌 원격 로그를 사용하십시오. 그러나 원격 로그가없는 경우 로컬 로그를 철저히 검사하십시오.

재부팅시 교체되므로 dmesg를 확인하십시오 .

리눅스에서는 실행중인 파일이 삭제 된 후에도 실행중인 프로그램을 가질 수 있습니다. 명령 파일 / proc / [0-9] * / exe | grep "(deleted)" 로이를 확인하십시오 . (물론 재부팅하면 사라집니다). 실행중인 프로그램의 사본을 디스크에 저장하려면 / bin / dd if = / proc / filename / exe of = filename을 사용하십시오.

당신이 경우 좋은 사본 알려진 사람 / PS / LS / NETSTAT의를 상자에에 무슨 일이 일어나고 있는지 검사하기 위해 이러한 도구를 사용합니다. 경우주의 루트킷이 설치되고,이 유틸리티는 일반적으로 정확한 정보를 제공하지 않습니다 사본으로 대체됩니다.


문제는 ps ​​/ ls / ... 사본이 좋은지 확인하는 방법입니다. md5sum을 확인할 수 있지만 다시 md5sum도 교체되었을 수 있습니다.
amarillion

2
모든 시스템에서 원본의 md5sum과 함께 중요한 파일 (및 md5sum)의 두 번째 사본을 보관합니다. 그런 다음 nagios가 매 시간마다 md5sum이 일치하는지 수동으로 확인합니다.
Brent

8

그것은 완전히 해킹 된 것에 달려 있지만 일반적으로

부적절하게 수정 된 파일의 타임 스탬프를 확인하고 성공적인 ssh (/ var / log / auth *에 있음) 및 ftp (/ varftp를 서버로 사용하는 경우 / var / log / vsftp *에 있음)를 사용하여 해당 시간을 상호 참조하십시오. 어떤 계정이 손상되었고 어떤 IP에서 공격이 발생했는지 확인하십시오.

동일한 계정에서 로그인 시도가 많이 실패한 경우 계정이 무차별 상태인지 확인할 수 있습니다. 해당 계정에 대해 로그인 시도가 실패했거나 몇 번 실패한 경우 다른 방법으로 암호를 발견했을 수 있으며 해당 계정의 소유자는 암호 안전에 대한 강의가 필요합니다.

IP가 근처 어딘가에서 "내부 작업"일 수 있습니다

루트 계정이 손상되면 당연히 큰 어려움에 처하게되며 가능하면 상자를 처음부터 다시 포맷하고 다시 작성해야합니다. 물론 모든 비밀번호를 변경해야합니다.


2

실행중인 응용 프로그램의 모든 로그를 확인해야합니다. 예를 들어 Apache 로그는 해커가 시스템에서 임의의 명령을 실행할 수있는 방법을 알려줄 수 있습니다.

또한 서버를 검사하거나 스팸을 보내는 프로세스가 실행 중인지 확인하십시오. 이 경우, 사용자가 실행중인 Unix 사용자가 상자가 해킹 된 방법을 알려줄 수 있습니다. www-data라면 Apache 등입니다.

때때로 같은 일부 프로그램 ps이 교체 된다는 점에 유의하십시오 .


1

나아!

당신은 종료 인터페이스 만 읽기에 하드 디스크를 연결해야합니다 (이 특별한 IDE 나 SATA 또는 USB, 등등 ... 모든 쓰기를 허용하지 않는 인터페이스,이 같은 뭔가 : HTTP : //www.forensic- computers.com/handBridges.php )을 사용하여 DD로 정확하게 속이십시오.

다른 하드 드라이브로 수행하거나 디스크 이미지로 수행 할 수 있습니다.

그런 다음 하드 디스크를 적절하고 안전한 장소에 보관하십시오.

나중에 복제 된 디스크 나 이미지를 법의학 컴퓨터에 꽂을 수 있습니다. 디스크 인 경우 읽기 전용 인터페이스를 통해 꽂아야하며 이미지 작업을하려면 '읽기 전용'으로 마운트하십시오.

그런 다음 데이터를 변경하지 않고 반복해서 작업 할 수 있습니다.

참고로, 실습을 위해 인터넷에 "해킹 된"시스템 이미지가 있으므로 "집에서"법의학을 수행 할 수 있습니다.

추신 : 해킹 된 시스템은 무너 졌습니까? 시스템이 손상되었다고 생각되면 연결된 상태로 두지 않고 새 하드 디스크를 넣고 법의학이 끝날 때까지 백업을 복원하거나 새 서버를 프로덕션에 배치합니다.



0

먼저 스스로에게 물어보십시오 : "왜?"

다음과 같은 이유가 있습니다.

  • 피해 평가
  • 그들이 어떻게 들어 왔는지 파악
  • 내부 작업인지 확인

그 이상으로 넘어가는 것은 종종 의미가 없습니다. 경찰은 종종 신경 쓰지 않으며, 만약 그렇다면, 하드웨어를 강요하고 자신의 법의학 분석을 수행합니다.

찾은 내용에 따라 인생을 더 쉽게 만들 수 있습니다. SMTP 릴레이가 손상되어 외부에서 악용 된 패치가 누락 된 것으로 판단되면 완료된 것입니다. 상자를 다시 설치하고 패치가 필요한 것은 패치하고 계속하십시오.

"법의학 (forensics)"이라는 단어가 나오면 사람들은 CSI에 대한 비전을 갖고 무슨 일이 있었는지에 대한 모든 종류의 끔찍한 세부 사항을 알아낼 생각을합니다. 그럴 수도 있지만, 필요하지 않으면 크게 들지 마십시오.


조사하는 것이 나의 고용주 정책입니다.
Kazimieras Aliulis

시스템 관리자의 관점에서 법의학은 비난이나 법적 문제가 아니라 패치 및 보안 강화에 관한 것입니다.
Brent

0

다른 답변을 읽지 않았지만 증거를 보존하고 이미지를 검사하기 위해 유령 이미지를 만들 것입니다.


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.