¿Cuáles son los pasos principales para hacer un análisis forense de Linux Box después de que fue pirateado?

15

¿Cuáles son los pasos principales para hacer un análisis forense de Linux Box después de que fue pirateado?

Digamos que es un servidor linux genérico mail / web / database / ftp / ssh / samba. Y comenzó a enviar spam, escaneando otros sistemas. ¿Cómo comenzar a buscar formas de hackear y quién es responsable?

Kazimieras Aliulis
fuente

Respuestas:

11

Aquí hay algunas cosas para probar antes de reiniciar:

En primer lugar, si cree que podría verse comprometido, desconecte el cable de red para que la máquina no pueda causar más daños.

Entonces, si es posible, abstenerse de reiniciar , ya que se pueden eliminar muchos rastros de un intruso reiniciando.

Si pensaba en el futuro y tenía un registro remoto en su lugar, use sus registros remotos, no los que están en la máquina, ya que es muy fácil que alguien manipule los registros en la máquina. Pero si no tiene registros remotos, examine a fondo los locales.

Verifique dmesg , ya que esto también se reemplazará al reiniciar.

En Linux es posible tener programas en ejecución, incluso después de que se haya eliminado el archivo en ejecución. Verifíquelos con el archivo de comando / proc / [0-9] * / exe | grep "(eliminado)" . (estos desaparecen al reiniciar, por supuesto). Si desea guardar una copia del programa en ejecución en el disco, use / bin / dd if = / proc / filename / exe of = filename

Si ha conocido buenas copias de who / ps / ls / netstat, use estas herramientas para examinar lo que está sucediendo en la caja. Tenga en cuenta que si se ha instalado un rootkit , estas utilidades generalmente se reemplazan con copias que no proporcionarán información precisa.

Brent
fuente
El problema es cómo averiguar si sus copias de ps / ls / ... son buenas. Puede verificar su md5sum, pero de nuevo, md5sum también puede haber sido reemplazado.
amarillion
2
Guardo una segunda copia de esos archivos críticos (y md5sum), junto con los md5sums de los originales en todos nuestros sistemas. Luego tengo nagios que comprueban manualmente sus md5sums para ver si hay una coincidencia cada hora.
Brent
8

Eso depende totalmente de lo que fue pirateado, pero en general,

Verifique las marcas de tiempo de los archivos que se modificaron de manera inapropiada y haga una referencia cruzada de esos tiempos con ssh exitoso (en / var / log / auth *) y ftp (en / var / log / vsftp * si está usando vsftp como servidor) para averiguar qué cuenta se vio comprometida y de qué IP vino el ataque.

Probablemente pueda averiguar si la cuenta fue forzada por la fuerza bruta si hubo muchos intentos de inicio de sesión fallidos en la misma cuenta. Si no hubo o solo algunos intentos fallidos de inicio de sesión para esa cuenta, entonces probablemente la contraseña se descubrió de alguna otra manera y el propietario de esa cuenta necesita una conferencia sobre seguridad de contraseña.

Si la IP es de algún lugar cercano, podría ser un "trabajo interno"

Si la cuenta raíz se vio comprometida, por supuesto, estás en un gran problema, y ​​si fuera posible, volvería a formatear y reconstruir la caja desde cero. Por supuesto, debe cambiar todas las contraseñas de todos modos.

amarillion
fuente
2

Debe verificar todos los registros de las aplicaciones en ejecución. Por ejemplo, los registros de Apache pueden decirle cómo un hacker podría ejecutar comandos arbitrarios en su sistema.

Compruebe también si tiene procesos en ejecución que escanean servidores o envían correo no deseado. Si es el caso, el usuario de Unix del que se está ejecutando puede decirle cómo fue pirateado su caja. Si es www-data, entonces sabes que es Apache, etc.

Tenga en cuenta que a veces psse reemplazan algunos programas como ...

Julien Tartarin
fuente
1

Naaah!

Debe apagar, conectar el disco duro a una interfaz de solo lectura (es una interfaz especial IDE o SATA, o USB, etc. que no permite ninguna escritura, algo como esto: http: //www.forensic- computers.com/handBridges.php ) y hacer un engaño exacto con DD.

Puede hacerlo en otro disco duro o en una imagen de disco.

Luego, guarde en un lugar seguro y totalmente seguro que el disco duro es la prueba original sin ninguna manipulación.

Más tarde, puede conectar ese disco clonado o imagen en su computadora forense. Si es un disco, debe enchufarlo a través de una interfaz de solo lectura, y si va a trabajar con una imagen, móntelo 'solo lectura'.

Entonces puede trabajar en él, una y otra vez sin cambiar ningún dato ...

Para su información, hay imágenes de sistemas "pirateados" en Internet para practicar, por lo que puede hacer análisis forenses "en casa" ...

PD: ¿Qué pasa con el sistema pirateado derribado? si creo que el sistema está comprometido, no lo dejaría conectado, pondría un nuevo disco duro allí y restauraría una copia de seguridad o pondría un nuevo servidor en producción hasta que termine el análisis forense ...

Andor
fuente
0

Primero debes preguntarte: "¿Por qué?"

Aquí hay algunas razones que tienen sentido para mí:

  • Evaluar el daño
  • Calcula cómo llegaron
  • Determinar si era un trabajo interno

Ir más allá de eso a menudo no tiene sentido. A la policía a menudo no le importa, y si lo hicieran, confiscarían su hardware y harían su propio análisis forense.

Dependiendo de lo que descubra, puede hacer que su vida sea mucho más fácil. Si un relé SMTP se ve comprometido y usted determina que se debió a un parche faltante explotado por una parte externa, ya está. Vuelva a instalar la caja, aplique un parche a lo que sea necesario y continúe.

A menudo, cuando se menciona la palabra "forense", las personas tienen visiones de CSI y piensan en descubrir todo tipo de detalles insoportables sobre lo que sucedió. Puede ser eso, pero no lo conviertas en un gran ascensor si no tienes que hacerlo.

duffbeer703
fuente
Es la política de mi empleador investigar.
Kazimieras Aliulis
Desde el punto de vista de un administrador de sistemas, análisis forense no se trata de culpar o cuestiones legales, sino de parches y una mejor seguridad
Brent
0

No he leído las otras respuestas, pero haría una imagen fantasma para preservar la evidencia y solo examinaría la imagen ... tal vez ...

cop1152
fuente