web-dev-qa-db-ja.com

Linuxフォレンジックの質問(ssh設定、ユーザーアクティビティ)

私はLinux初心者で、少し困惑している課題があります... 3つの異なる日付のLinuxサーバーの状態のVirtualBox(vdi)イメージとrawファイルが与えられます。

私たちは答えるべきです:

  • 人々はどのような順序でハッキングして自分にアカウントを与えましたか?
  • 特定のユーザーが全員のssh機能を台無しにしたか?
  • 人々は他にどんな悪ふざけをしてきましたか?
  • ヒント:/ var/log /およびextcarveおよびBulk Extractorプログラムを確認してください

そして、これを行う方法は教えられていません:(

私の考え/質問:

  • ユーザーアカウントの/ etc/shadowファイルを調べています。これは正しく動作するはずですか?このようにすれば、見落としはありませんか?
  • グーグルで/ etc/ssh/ssh_configファイルが存在するようになりましたが、ここで何を調べればよいかわかりません...ヒントはありますか?誰がファイルを変更したかを知ることはできますか?または、すべてのユーザーの/.bash_historyを確認する必要がありますか? x_x
  • / var/logsディレクトリを調べたところ、すぐに役立つものは何も見つかりませんでした。彼が私たちにここで探して欲しいと思うかもしれないアイデアはありますか?
  • 彼が他にどんなシェナンガンを探して欲しいのかわからない。ドライブ全体の統計をまとめようとしている場合、またはファイルが削除されていて、何が残っているかを確認したい場合は、extcarveおよびBulk抽出の音が役立ちます。それが彼の考えていることだと思いますか?

Noobの質問は申し訳ありませんが、助けてくれてありがとう!

linuxsshforensics
5
Robert

フォレンジックのワイルドで素晴らしい世界へようこそ!だからあなたはあなたのイメージを持っています。他に何かする前に、ディスクイメージのチェックサムを取得し、それらのコピーを作成してください。コピーとは、元のファイルの代わりに作業できることを意味し、システム上の何かを誤って変更した場合に元の状態にロールバックできるようにします。ハッシュを使用すると、作業コピーをオリジナルと比較して検証できます。このためには、ほぼすべてのハッシュアルゴリズムで十分です。

システムで何が起こっているか、または何が起こったのかを本当に理解するには、まずそれが何であるかを理解する必要があります。あなたが何らかの形のUNIX派生物、おそらくLinuxを見ていることは明らかですが、それがどのファミリーに属しているかを判断する必要があります。それはRedHat、Debian、BSD、Solaris、またはAIXやHP-UXのような完全に奇抜なものですか?

検査するシステムのタイプによって、参照する必要のあるログファイルと、構成の保存場所を決定する方法が正確に決まります。 /var/logから始めることをお勧めします。これは、Linuxシステムのデフォルトのログの場所です。特定のフレーバーによっては、監査サブシステム(インストールされている場合)またはSELinuxやAppArmorなどのRBAC/MACシステムからの/var/log/auditにも役立つ情報が見つかる場合があります。

特定の構成の質問に答えると、アカウント情報はいくつかのファイルに保存されます:/etc/passwd/etc/shadow/etc/group/etc/gshadow。それぞれの構造はよく理解されており、簡単に調査できます。他のサービスの場合、特定の構成ファイルとその構成には、研究と経験に基づく理解の両方が必要です。

インシデント後の適切な調査を実行するには、分析しているシステムを深く理解している必要があります。どのファイルを見るかを理解する必要があるだけでなく、どのファイルが何を意味するか、さまざまな構成が相互にどのように相互作用するか、そして(カービング時)ファイルシステムが実際にどのように構成されるかを理解する必要があります。深いところに投げ込まれたことは、面倒なことですが、喜ばしいことです。 Offensive SecurityチームのスローガンがTry Harder™であることはメリットがないわけではありません。これは厳密に不快な仕事ではありませんが、原則は間違いなくここに適用されます。

6
Scott Pack

ユーザーアカウントのマスターファイルは /etc/passwd です。ハッカーがトラックを隠そうとした場合、ハッカーは /etc/shadow にエントリを作成していない可能性があります。彼らは/etc/passwdにエントリを作成していなくても、代わりに他のデータベースにエントリを作成している可能性があります。 /etc/nsswitch.confpasswd行にエントリを追加する必要がありました。

ハッカーが通常のツールを使用してアカウントを追加した場合、/etc/passwdおよび/etc/shadowのエントリは、追加された順序で表示されます。もちろん、ファイルを手動で編集した可能性もあります。

/etc/ssh/ssh_config (これは/etcに直接配置される場合があります。これはディストリビューションによって異なります)は、SSHクライアントのシステム全体の構成ファイルです。 SSHサーバーに対応するファイル sshd_config があります。これらのファイルをディストリビューションのデフォルトと比較してください。

まだ分​​からない場合は、これがどのディストリビューションかを理解する必要があります。 VMを実行できるので(ネットワークから隔離し、元のイメージのコピーを保持するようにしてください!)、ブート時にメッセージが表示される可能性があります。画像、/etc/redhat_release/etc/debian_versionなどのファイルを探します。これらのファイルは派生物を示している場合があります(例:/etc/debian_versionはUbuntuにも存在します) lsb_release コマンドまたはファイル/etc/lsb-release、これには正確な情報が含まれています。

/var/logには役立つ情報が含まれている可能性がありますが、見つけにくい場合があります。ハッカーによるほとんどのアクションはログに記録されていますが、彼らは自分の痕跡を隠そうとした可能性があります。しかし、それらは完全ではなかったかもしれません。ログを疑わしくならないように十分な正当なログを保持しながら、すべての有害なログを削除することは困難です。長期間ログが存在しない、cronジョブからログが欠落しているなどの場合、誰かが期間を一括消去したことを示している傾向があります。

ハッカーがログファイルを編集した場合、古いコンテンツの痕跡が未使用のセクターに残る可能性があります。カービングツールは、これらのセクターを見つけるのに役立ちます。

「その他の悪意」には、カーネルにルートキットを挿入するなどのものが含まれます(その場合、ライブシステムレポートは信頼できませんが、ディスクイメージは少なくとも直接には存在しません)、setuidルートシェルをどこかに隠し、変更しますrootアカウントへのパスワード(またはuid 0と別の名前のアカウントを追加)、...

1
Gilles 'SO- stop being evil'