Процедуры подтверждения подозреваемого взлома? (Linux)
Я пытаюсь скомпилировать процедуру на случай, если когда-нибудь возникнет подозрение, возможно, по данным сетевого потока или что-то в этом роде, что сервер может быть взломан. Логика заключается в том, что вы должны думать об этих вещах спокойно и спокойно, прежде чем они произойдут по-настоящему, и давление будет и адреналин течет.
Кто-нибудь может порекомендовать хорошие ресурсы, с которыми я должен ознакомиться, чтобы помочь мне составить разумную процедуру?
Я ищу полезную информацию о том, что делать, чтобы подтвердить подозрительность, а также о том, что делать, если обнаружен взлом.
3 ответа
Вы можете запустить что-то вроде chkrootkit по расписанию. http://www.chkrootkit.org/ То же самое для rkhunter.
Ищите подозрительные процессы и отключайте ненужные демоны.
Если это основанная на rpm система, вы можете посмотреть на вывод rpm verify (rpm -vVa) искать изменения в установленных пакетах.
Там всегда Tripwire... http://tripwire.org/
Предполагая, что вы явно не решаете проблемы предотвращения компромисса или проблемы восстановления после компромисса....
Прежде чем это произойдет
Вы должны иметь безопасную регистрацию на месте - т.е. данные журнала должны быть немедленно опубликованы в отдельном поле для записи.
У вас должна быть IDS на основе хоста для обнаружения несанкционированных изменений - опять же с сохранением данных из коробки - таких как tripwire / LIDS
Вам также нужно планировать то, что вы собираетесь делать, немедленно заподозрив компромисс - есть ли у вас отдельное подразделение, в которое вы можете поменяться? Если это прямая копия, то у нее будут те же уязвимости, что и у заменяемой коробки. Может ли он быть настроен для предоставления сокращенного сервиса с большей безопасностью (например, веб-сервер с файловой системой, доступной только для чтения, и содержимым "без костей").
Определите критерии привлечения правоохранительных органов. Если вы можете привлекать их - и они, вероятно, заинтересуются - поговорите с ними заранее и спросите, как вы можете облегчить им жизнь.
Получить согласие всех заинтересованных сторон на запланированный ответ.
обнаружение
В дополнение к базовому обнаружению аномалий, вы должны проверять выходные данные системы обнаружения вторжений и регулярно запускать проверки на наличие руткитов, а также выполнять частые сканирования портов для этого блока. Ваша обычная проверка аномалии должна включать анализ журнала.
Хотя описанные выше методы имеют значение, когда злоумышленник модифицирует систему, они не решают проблему раскрытия информации. AFAIK единственный разумный способ решить эту проблему - через данные honeypot (например, адреса электронной почты, учетные записи пользователей).
когда это произойдет
Вытащите вилку. Шутки в сторону. Выключение системы может внести значительные изменения в систему. Вы хотите, чтобы он был отключен от любых других устройств в сети как можно скорее, но вам нужно как можно больше сохранять состояние системы.
Если вы собираетесь привлекать правоохранительные органы - сообщите им, прежде чем делать что-либо еще.
Если вы хотите проверить себя, загрузите систему с USB / CD - НЕ с установленной ОС.
Вы не сможете определить это, просто взглянув на выходные данные netflow, поскольку это недостаточно детально, чтобы сказать.
Вместо этого я бы предложил использовать подозрения netflow в качестве отправной точки: посмотрите на это некоторое время, попробуйте посмотреть, имеет ли он тенденцию к повышению или понижению, и, если вы подозреваете, что это может быть связано с перебоями в обслуживании, отключите уязвимую (ы).
Вы никогда не проводите судебную экспертизу на живых боксах, никогда; если подозрение становится достаточно острым, вы снимаете коробку с сети, а затем исследуете последствия на досуге.