查找被黑客入侵的服务器是如何被黑客入侵的

11

我只是在浏览该网站时发现以下问题:我的服务器已被紧急攻击。基本上问题是:我的服务器已被黑客入侵。我该怎么办?

最好的答案是优秀的,但它在我脑海中提出的一些问题。建议的步骤之一是:

检查“受攻击的”系统,以了解攻击如何成功破坏了您的安全性。尽一切努力找出攻击的“发源地”,以便您了解要解决的问题,以确保将来系统安全。

我没有完成系统管理员的工作,所以我不知道如何开始这样做。第一步是什么?我知道您可以查看服务器日志文件,但是作为攻击者,我要做的第一件事就是擦除日志文件。 您如何“理解”攻击的成功方式?

security 
60英尺
source
我见过一些“被黑客入侵”的服务器,但其中没有一个擦除日志。我知道它经常发生。攻击者通常有一个主要目标(窃取数据或通常将服务器用作代理/中介),而掩盖其输入是次要目标。
克里斯·S
恕我直言,最好问一下自己如何更好地保护服务器以及如何正确审核它。
tmow 2011年
在当今时代,“被黑客入侵”的服务器通常来自自动脚本小工具,这些工具很少擦除日志,甚至很少尝试隐藏自己。
Sirex

Answers:

11

我首先要说的是,如果您没有LOG FILES,那么您很有可能永远不会了解攻击在何处或如何成功进行。即使有了完整而适当的日志文件,也很难完全了解谁,什么,什么地方,什么时候,为什么以及如何。

因此,了解了日志文件的重要性之后,您便开始了解保存它们的安全性。这就是为什么公司这样做并且应该在安全信息和事件管理或SIEM上进行简短投资的原因。

西门子

简而言之,将所有日志文件关联到特定事件(基于时间的事件或其他事件)可能是一项极其艰巨的任务。如果您不相信我,请只看一下调试模式下的防火墙系统日志。而且那仅来自一台设备!SIEM流程将这些日志文件放入一系列逻辑事件中,这些逻辑事件使查明发生的情况变得更加容易理解。

要开始更好地了解操作方法,研究渗透方法将很有帮助。

了解病毒是如何写的也很有帮助。或如何编写rootkit

设置和研究蜜罐也是非常有益的。

它还有助于拥有一个日志解析器精通它。

收集网络和系统的基准很有帮助。什么是您的情况下的“正常”流量与“异常”流量?

CERT对于您的计算机被黑客入侵后的处理方法具有出色的指导,最值得注意的是(与您的特定问题直接相关)“分析入侵”部分:

  • 查找对系统软件和配置文件所做的修改
  • 寻找对数据的修改
  • 寻找入侵者遗留下的工具和数据
  • 查看日志文件
  • 寻找网络嗅探器的迹象
  • 检查网络上的其他系统
  • 检查远程站点涉及或受影响的系统

在SF上有许多与您相似的问题:

  1. 如何进行服务器黑客验尸
  2. 主机文件和Netstat中的奇怪项目
  3. 这是黑客尝试吗?
  4. 如何从黑客或安全角度学习Linux

这可能是一个非常复杂和复杂的过程。如果包括我在内的大多数人都参与了我的SIEM设备无法整合的更多工作,他们只会聘请一名顾问。

而且,显然,如果您想完全了解您的系统是如何被黑客入侵的,则必须花费数年时间 研究它们并放弃女性。

格雷格
source
+1为在SIEM发生之前奠定基础奠定了基础
Rob Moir
抱歉。目前,我的回答很普遍。我从04:00开始编写它,但我的咖啡IV尚未安装到位。
GregD 2011年
2

这一点的答案可能是一百万英里宽和高,而且不知道被黑客入侵的服务器所发生的事情几乎可以说是一种艺术形式,因此我将再次给出起点和示例,而不是确定的例子。步骤。

要记住的一件事是,一旦遇到入侵,您就可以审核代码,系统管理/配置和过程,同时知道那里肯定存在弱点。这比寻找可能存在或可能不存在的理论上的弱点更有助于推动动力。人们常常把东西放到网上,而他们知道如果可以的话,对本代码的审核可能会有些困难。或者,即使不是很不方便,系统也会更加牢固地锁定;或程序变得更加严格,即使老板记住长密码并没有那么麻烦。我们都知道我们最可能存在的弱点在哪里,所以从这些开始。

在理想情况下,您会将日志存储在其他(希望不会受到威胁)的syslog服务器上,不仅是服务器上的日志,还是任何防火墙,路由器等也记录流量的日志。还有像Nessus这样的工具可以用来分析系统并寻找弱点。

对于来自第三方的软件/ framworks,通常可以使用最佳实践指南来审核部署,或者您可能会更加关注安全新闻和补丁计划,并发现可能已经使用的漏洞。

最后,如果您有时间和耐心找到它,大多数入侵确实会给您带来麻烦。使用黑客工具包的“开车兜风”脚本小子入侵或闯入往往侧重于常见的弱点,并且可以留下一种模式,向您指明正确的方向。最难分析的可能是手动定向入侵(例如,某人不想入侵“一个”网站,而是想专门入侵“您的”网站),这些当然是最重要的要理解的东西。

对于真的不知道从哪里开始的人(甚至对于有其他职责的有经验的人),第一步可能是雇用具有上述步骤的良好经验的人。这种方法的另一个优点是,他们将在没有任何先入为主的观念或个人利益的情况下查看您的设置。

罗伯·摩尔
source
1
+1实际上,我想补充一点,那就是预防要比战斗好,这也意味着只是要防止有一天发生。因此,乍一看,制定一种简化故障排除并减少影响的策略非常重要。
tmow 2011年
1

“我知道您可以查看服务器日志文件,但是作为攻击者,我要做的第一件事就是擦除日志文件。”

根据攻击类型的不同,攻击者可能在受到感染的服务器上没有足够高的特权才能删除日志。最好也将服务器日志保留在另一台服务器上,以防止篡改(在某些时间间隔自动导出)。

除了受感染的服务器日志外,还有网络日志(防火墙,路由器等)以及来自目录服务的身份验证日志(如果有的话)(Active Directory,RADIUS等)

因此,查看日志仍然是可以做的最好的事情之一。

处理损坏的盒子时,在日志中筛选始终是我将发生的事情拼凑在一起的主要方法之一。

-乔什

乔什·布劳(Josh Brower)
source
上学期我在课堂上做了一些非常有限的日志分析。您如何在海量日志文件中找到漏洞?您会看一下最后的条目吗?您将如何识别可疑条目?
2011年
您将如何识别可疑条目?理想情况下,通过保留日志历史记录进行比较和/或经常检查它们以了解非可疑条目的外观,这样您就可以消除日常的日常工作并仔细查看剩下的内容。
罗伯·摩尔
1
我同意摩尔纹。系统管理员需要非常了解系统,以至于他知道什么时候应该运行服务。确实很容易找到一些可疑的日志条目,因为它们具有离开的特定签名(例如Nimda扫描),而对于其他日志条目,只有更多的上下文来决定它是否合法。
乔什·布劳
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.