Security

Отключить сеть или питание (при подключении корневого сервера)?

Когда на сервер попадает root (например, в подобной ситуации), одной из первых вещей, которую вы можете решить сделать, является локализация. Некоторые специалисты по безопасности советуют не приступать к устранению последствий немедленно и держать сервер в сети до завершения экспертизы. Эти советы обычно относятся к APT. Совсем другое дело, если у вас периодически происходят простые нарушения сценариев, поэтому вы можете принять решение о ранней ремедиации (исправлении ситуации). Одним из шагов в устранении последствий является локализация сервера. 

Сервер можно изолировать, выдернув сетевой кабель или кабель питания.

Какой метод лучше?

Принимая во внимание следующие соображения:

  1. Защитить жертву от дальнейшего ущерба.

  2. Проведение успешной судебной экспертизы.

  3. (Возможно) защита ценных данных на сервере.

Предположения:

  1. Сервер не является виртуальной машиной или контейнером, способным сделать снимок, фиксирующий содержимое памяти сервера.

  2. Вы решаете не пытаться возбуждать уголовное дело.

  3. Вы подозреваете, что злоумышленник использовал какое-то программное обеспечение (возможно, сложное), и это программное обеспечение все еще работает на сервере.

Ответ 1

Если вы столкнулись с APT, то лучшим вариантом для вас будет установка honeypot и тщательное исследование всего трафика, поступающего в него и выходящего из него, в дополнение к мониторингу сервера. Работа с памятью настолько дорога с точки зрения времени и усилий, что обычно не имеет смысла, если вы не испробовали все другие методы, а если вы решите, что это стоит сделать, то лучше всего установить honeypot, который позволяет легко сбросить память и состояние системы на другую машину, чтобы вы могли проводить анализ с меньшей угрозой быть обнаруженным, пока машина работает.

У меня была одна ситуация, когда злоумышленник сохранил все в памяти до такой степени, что, за исключением журналов, машина выглядела точно так же, как ее образ после выключения и включения. Затем они снова взламывали машину и начинали ее использовать, потому что уязвимость все еще была там — им не нужно было оставлять для себя никаких «черных ходов». Здесь могла бы помочь оценка памяти, но в данном случае наблюдения за трафиком было достаточно, чтобы быстро определить уязвимость.

Таким образом:

Единственная причина избегать отключения питания и проведения автономной оценки диска — это если вы собираетесь пройти через проблемы, чтобы провести тщательный анализ памяти угрозы, когда она уже установлена и работает. Если вы дошли до момента, когда это необходимо, то нет причин отключать питание. Если вы не проводите анализ памяти, то лучшим вариантом будет выдернуть вилку из розетки — отключение локальной сети (или использование команды выключения) только даст программе злоумышленника предварительное уведомление, что иногда имеет значение.

Итак:

Осуществите отключение питания и сети, если только вы не проводите анализ памяти, в противном случае не отключайте ни один из них.

Ответ 2

В наше время это может быть виртуальная машина, поэтому любой из методов прост и даже может быть выполнен удаленноиртуальные машины дают возможность использовать моментальные снимки, конечно же).

Я бы предложил отключение от сети в качестве автоматического первого шага, потому что это дает вам время подумать о том, каким должен быть следующий шаг, будь то отключение шнура питания или что-то еще. Если вы знаете, что ваши корпоративные «процедуры реагирования безопасности» не позволят вам потратить время на детальное изучение машины, то сохранение содержимого оперативной памяти может быть не так важно.

Я бы предположил, что «отделить жертву от грабителей» любым способом важнее, чем то, как это сделать, поэтому оба подхода имеют право на существование. Я бы и сам без проблем выдернул шнур питания, если уж на то пошло.

Ответ 3

Выдергивание сетевого провода обычно является хорошей идеей, особенно если вы считаете, что это был активный злоумышленник, ищущий конфиденциальную информацию. Вытащить питание гораздо сложнее. Если вы чувствуете, что запущен вредоносный код, который может замести следы, сделайте это. Однако, если вы считаете, что в памяти могут остаться следы взлома, оставьте систему включенной. В целом, все зависит от того, имеете ли вы дело с вредоносным кодом, недовольным персоналом или с кем-то, у кого на уме конкретная цель.

Если вы склоняетесь к осторожности, отключите питание. Вы потеряете небольшое количество потенциальных улик, но сможете предотвратить массовое удаление других улик автоматическим кодом.

Если вы чувствуете, что машина была взломана, но знаете, что на ней нет конфиденциальных данных, уверены в своей сетевой безопасности в других местах и понимаете последствия такого поведения, возможно, срочно пригласите криминалиста и посмотрите, сможете ли вы отследить или понять атаку, и действуйте дальше. Обычно это не очень хорошая идея, хотя…

Ответ 4

  1. Пересмотрев свои предположения, сделайте оба варианта. Используйте носитель на основе CD/DVD для сброса текущего состояния. В первую очередь вы хотите определить, как вы были скомпрометированы. Возможно, вы также захотите попытаться восстановить пользовательские данные, которых нет в резервных копиях.

  2. Затем восстановите систему с последнего резервного носителя, который не заражен. Если возможно, проверьте это с помощью контрольных сумм. В качестве альтернативы переустановите программное обеспечение с установочного носителя и выполните повторную настройку. Переконфигурация должна быть автоматической, если вы использовали Puppet или cfEngine для настройки сервера.

  3. Перезагрузите пользовательские данные и проверьте их на наличие компонентов корневого набора. Убедитесь, что в каталогах данных нет программ setuid или setgid.

  4. Определите и закройте метод доступа, использованный для заражения системы. Поэтапно восстановите работу сервера, чтобы убедиться, что приложения работают как положено. Тщательно отслеживайте новые попытки заражения.

  5. Все это предполагает, что заражение происходит на корневом уровне. Веб-инфекции могут быть осуществлены путем изменения кода, выполняемого веб-сервером. Разрешение веб-серверу доступа на запись к своему коду может облегчить эту задачу. Вы все равно можете рассматривать этот случай, как если бы была взломана учетная запись root.

  6. Если взломан root в одной системе, возможно, взломаны и другие системы. Тщательно проанализируйте, к каким системам можно получить доступ без пароля из зараженной системы.

Схожие статьи

Security

Нужен ли моему администратору баз данных Oracle root-доступ?

Security

Насколько полезен mounting/tmp noexec?

Security

Безопасна ли аутентификация по отпечатку пальца?

Security

Какой есть относительно простой способ заблокировать весь трафик из определенной страны?