Linuxボックスがハッキングされた後にフォレンジック分析を行う主な手順は何ですか?
それが一般的なLinuxサーバーのmail/web/database/ftp/ssh/sambaであるとしましょう。そして、それはスパムを送り始め、他のシステムをスキャンし始めました。
再起動する前に試してみることがいくつかあります:
まず第一に、あなたが危険にさらされているかもしれないと思うならあなたのネットワークケーブルを抜いてくださいそれでマシンはそれ以上のダメージを与えることができません。
次に、可能であれば再起動を控えます、再起動することで侵入者の痕跡をできるだけ多く削除できます。
先に考えてリモートロギングを設定している場合は、マシンのログではなく、リモートログを使用してください。誰かがマシンのログを改ざんするのは非常に簡単です。ただし、リモートログがない場合は、ローカルログを徹底的に調べてください。
dmesgを確認してください。これは再起動時にも置き換えられるためです。
Linuxでは、実行中のファイルが削除された後でも、実行中のプログラムを持つことができます。コマンドfile/proc/[0-9] */exe | grep "(deleted)"でこれらを確認してください。 (もちろん、これらは再起動すると消えます)。実行中のプログラムのコピーをディスクに保存する場合は、/ bin/dd if =/proc /filename/ exe of =ファイル名
Who/ps/ls/netstatの既知の適切なコピーがある場合は、これらのツールを使用して、ボックスで何が起こっているかを調べます。 rootkitがインストールされている場合、これらのユーティリティは通常、正確な情報を提供しないコピーに置き換えられます。
それは完全にハッキングされたものに依存しますが、一般的には、
不適切に変更されたファイルのタイムスタンプを確認し、成功したssh(/ var/log/auth *内)およびftp(vsftpをサーバーとして使用している場合は/ var/log/vsftp *内)と相互参照します。どのアカウントが侵害され、どのIPから攻撃が発生したかを調べます。
同じアカウントでログイン試行が何度も失敗した場合は、アカウントがブルートフォース攻撃を受けたかどうかを確認できます。そのアカウントで失敗したログイン試行がないか、または数回だけ失敗した場合は、おそらく他の方法でパスワードが発見されており、そのアカウントの所有者はパスワードの安全性に関する講義を必要としています。
IPが近くのどこかからのものである場合、それは「内部の仕事」である可能性があります
Rootアカウントが侵害された場合、もちろん、あなたは大きな問題を抱えています。できれば、私は、ボックスを最初から再フォーマットして再構築します。もちろん、とにかくすべてのパスワードを変更する必要があります。
実行中のアプリケーションのすべてのログを確認する必要があります。たとえば、Apacheログは、ハッカーがシステム上で任意のコマンドを実行する方法を示している場合があります。
また、サーバーをスキャンしたりスパムを送信したりするプロセスが実行されているかどうかも確認してください。その場合、彼らが実行しているUnixユーザーは、ボックスがどのようにハッキングされたかを知ることができます。 www-dataの場合は、Apacheなどであることがわかります。
ps
のようないくつかのプログラムが置き換えられることがあることに注意してください...
メモリダンプ を取得し、それを Second Look などのメモリフォレンジックツールで分析します。
なぁ!
シャットダウンして、ハードディスクを読み取り専用インターフェイスに接続する必要があります(これは、書き込みを許可しない特別なIDEまたはSATA、またはUSBなどのインターフェイスです。次のようなものです。 : http://www.forensic-computers.com/handBridges.php )そしてDDで正確な複製を行います。
別のハードドライブにそれを行っても、ディスクイメージに行ってもかまいません。
次に、ハードディスクが改ざんされることなく元の証拠であるという、完全に安全な場所に保管してください。
後で、そのクローンディスクまたはイメージをフォレンジックコンピューターに接続できます。ディスクの場合は、読み取り専用インターフェイスを介してプラグインする必要があります。イメージを操作する場合は、「読み取り専用」でマウントします。
その後、データを変更せずに何度も何度も作業できます...
参考までに、インターネット上には練習用の「ハッキングされた」システムイメージがあるため、「自宅」でフォレンジックを行うことができます...
PS:ハッキングされたシステムがダウンしたのはどうですか?システムが危険にさらされていると思われる場合は、接続したままにせず、そこに新しいハードディスクを置き、フォレンジックが終了するまでバックアップを復元するか、新しいサーバーを本番環境に置きます...
SANS Instituteの記事「 Dead Linux Machines Do Tell Tales "」を読むことを強くお勧めします。それは2003年からですが、情報は今日でもまだ貴重です。
あなたは最初にあなた自身に尋ねるべきです:「なぜ?」
これが私にとって理にかなっているいくつかの理由です:
それを超えることはしばしば意味をなさない。警察はしばしば気にしません、そしてもしそうなら、彼らはあなたのハードウェアを押し込み、彼ら自身の法医学分析をします。
あなたが見つけたものによっては、あなたはあなたの人生をとても楽にすることができるかもしれません。 SMTPリレーが危険にさらされ、外部の関係者によって悪用されたパッチの欠落が原因であると判断した場合は、これで完了です。ボックスを再インストールし、パッチが必要なものにパッチを適用して次に進みます。
多くの場合、「フォレンジック」という言葉が出てくると、人々はCSIのビジョンを持ち、何が起こったのかについてのあらゆる種類の耐え難い詳細を理解することを考えます。それはそれであるかもしれません、しかしあなたがする必要がないならそれを巨大なリフトにしないでください。
私は他の回答を読んだことがありませんが、証拠を保存するためにそれのゴースト画像を作成し、画像を調べるだけです....多分...