Comment puis-je faire avec un serveur piraté?

il
http://meta.serverfault.com/questions/1986
À propos du serveur de sécurité - Réagir aux événements de piratage (se briser)

Voir également:

https://serverfault.com/questi ... erver
https://serverfault.com/questi ... omise

Version canonique

Je soupçonne qu'un ou plusieurs de mes serveurs sont piratés par un pirate informatique, un virus ou un autre mécanisme:

Quelles sont mes premières étapes? Dois-je éteindre le serveur sur le lieu d'arrivée, sauvegarder "la preuve", existe-t-il d'autres considérations initiales?

Comment puis-je reprendre le travail des services?

Comment puis-je empêcher la répétition de la même chose immédiatement?

Existe-t-il des meilleures pratiques ou des méthodes d'extraction des leçons de cet incident?

Si je voulais élaborer un plan d'intervention sur l'incident, pourquoi devrais-je commencer? Devrait-il faire partie de mon plan de récupération d'urgence ou de la continuité des activités?

Version originale


2011.01.02

- Je vais travailler dans 21.30. dimanche, parce que notre serveur était compromis en quelque sorte et en conséquence
http://en.wikipedia.org/wiki/D ... ttack
Attaque de notre fournisseur. Les serveurs d'accès à Internet étaient désactivés, ce qui signifie plus 5-600 Les sites de nos clients sont désactivés. Maintenant ça peut être piraté FTP Ou une faible faiblesse dans le code. Je ne suis pas sûr que je m'y arrive.

Comment puis-je le suivre rapidement? Si je ne reçois pas de sauvegarde du serveur dès que possible, nous attendons de nombreux essais. Toute aide est la bienvenue. Nous utilisons Open SUSE 11.0.

2011.01.03

- Merci à tout le monde pour l'aide. Heureusement, je n'étais pas le seul responsable de ce serveur, juste le plus proche de celui-ci. Nous avons réussi à résoudre ce problème, même s'il ne se réfère pas à de nombreux autres dans une autre situation. Je vais vous dire en détail ce que nous avons fait.

Nous avons désactivé le serveur du réseau. Il a performé (essayé d'exécuter) Une attaque comme "Refuser de la maintenance" sur un autre serveur en Indonésie et le côté coupable était également là.

Au début, nous avons essayé de déterminer d'où cela vient, considérant que nous avons plus 500 Nous avons des sites sur le serveur et nous nous attendions à travailler pendant un moment. Cependant, toujours avoir accès à SSH, Nous avons terminé la commande pour trouver tous les fichiers édités ou créés lors de l'attaque. Heureusement, le fichier malveillant a été créé pendant les vacances d'hiver et cela signifiait qu'à cette époque, il n'y avait pas tant d'autres fichiers sur le serveur.

Ensuite, nous avons pu identifier le fichier de contrevenant qui se trouvait dans le dossier avec des images chargées dans le dossier.
http://en.wikipedia.org/wiki/Zen_Cart
Site Internet.

Après un coup de foudre, nous sommes arrivés à la conclusion que, en raison de l'emplacement des fichiers, ils doivent être chargés via l'outil de chargement de fichier qui n'était pas protégé correctement. Après une recherche dans Google Nous avons trouvé une vulnérabilité de sécurité qui vous permet de télécharger des fichiers sur le panneau administratif. ZenCart Pour une image pour une société d'enregistrement. (Section qu'il n'a jamais utilisé jamais), Lors de la publication de ce formulaire, tout fichier a simplement été chargé, il n'a pas vérifié l'extension de fichier et n'a même pas vérifié si l'utilisateur est entré dans le système.

Cela signifiait que vous pouvez télécharger des fichiers, y compris le fichier. PHP Pour attaquer. Nous avons obtenu une vulnérabilité avec ZenCart Sur un site infecté et supprimé des fichiers malveillants.

Le travail a été fait et j'étais à la maison dans 2 nuit nuit.

Moralité

- Appliquer toujours des corrections de sécurité pour ZenCart ou tout autre système CMS À cet égard. Comme avec la publication des mises à jour de sécurité, le monde entier apprend les vulnérabilités. - Toujours faire des sauvegardes et des copies de sauvegarde de vos sauvegardes. - Embaucher ou embaucher quelqu'un qui sera là parfois. Donc, personne ne s'appuie sur le poteau panique sur les serveurs échoue.
Invité:

Agathe

Confirmation de:

Il est difficile de donner un avis spécifique de ce que vous avez posté ici, mais j'ai quelques conseils généraux basés sur le message que j'ai écrit il y a de nombreuses années lorsque je pouvais toujours m'inquiéter du blog.

Ne panique pas

Tout d'abord, il n'y a pas de "solutions rapides", en plus de la restauration de votre système à partir d'une sauvegarde, faite avant l'invasion et qu'il a au moins deux problèmes.

Il est difficile de déterminer lorsque l'invasion s'est produite.

Cela ne vous aidera pas à fermer le "trou" qui leur a permis de pirater dans la dernière fois et ne gèvera pas les conséquences d'un "vol de données", qui pourrait également avoir lieu.

Cette question est constamment demandée aux victimes de piratage informatique sur leur serveur Web. Les réponses changent très rarement, mais les gens continuent à poser des questions. Je ne sais pas pourquoi. Peut-être que les gens n'aiment tout simplement pas les réponses qu'ils ont vu à la recherche de l'aide ou ne peuvent pas trouver quelqu'un qu'ils ont confiance pour leur donner des conseils. Ou peut-être que les gens lisent la réponse à cette question et trop se concentrer sur 5% pourquoi leur cas est spécial et diffère des réponses qu'ils peuvent trouver sur Internet et de sauter 95% questions et réponses lorsque leur cas est suffisamment proche que celui qu'ils lisent sur Internet.

Cela m'amène au premier fragment important d'informations. J'apprécie vraiment le fait que vous êtes un flocon de neige unique unique. J'apprécie que votre site Web est également un reflet de vous et de votre entreprise ou du moins votre travail diligent au nom de l'employeur. Mais pour quelqu'un de côté, qu'il s'agisse d'un spécialiste de la sécurité informatique qui étudie le problème d'essayer de vous aider, voire l'attaquant lui-même, il est très probable que votre problème soit au moins 95% Il est identique à toute autre occasion qu'ils ont. jamais regardé.

Ne prenez pas d'attaque sur votre propre compte et n'acceptez pas les recommandations ou recommandations suivantes à d'autres personnes. Si vous lisez ceci après la victime du piratage du site Web, je suis vraiment désolé et j'espère vraiment que vous trouverez quelque chose d'utile ici, mais il n'est maintenant pas temps de permettre à votre ego d'interférer avec ce dont vous avez besoin. Fabriquer.

Vous venez de découvrir que votre serveur (s) piraté. Maintenant quoi?

Ne panique pas. En aucun cas, n'agissez pas à la hâte, en aucun cas, vous n'essaie de prétendre que rien ne s'est passé et n'agit pas du tout.

Premièrement: comprenez que la catastrophe s'est déjà produite. Maintenant pas le temps de le nier; Il est temps d'accepter ce qui est arrivé à être réalistes à cet égard et à prendre des mesures pour gérer les effets de l'impact.

Certaines de ces étapes peuvent nuire et (Si votre site Web ne contient pas de copie de mes données) Je m'en fiche vraiment si vous ignorez tout ou partie de ces étapes, pour vous résoudre. Mais la conformité correcte finira par améliorer la situation. Le médicament peut avoir un goût terrible, mais vous devez parfois l'ignorer, si vous voulez vraiment que le médicament ait.

Ne donnez pas de problème à devenir pire que ce qu'il est maintenant:

La première chose à faire est d'éteindre les systèmes affectés d'Internet. Quels que soient les autres problèmes, laisser le système connecté à Internet ne poursuivra que l'attaque. Je le pense littéralement; Demandez à quelqu'un de visiter physiquement le serveur et d'éteindre les câbles réseau, si nécessaire, mais déconnectez la victime des voleurs avant d'essayer de faire autre chose.

Changez tous vos mots de passe pour tous les comptes sur tous les ordinateurs figurant sur le même réseau que les systèmes piratés. Pas vraiment. Tous les comptes. Tous les ordinateurs. Oui, vous avez raison, cela peut être superflu; D'autre part, peut-être pas. Vous ne savez pas de toute façon, non?

Découvrez vos autres systèmes. Portez une attention particulière à d'autres services liés à Internet, ainsi que sur ceux qui stockent des données commerciales financières ou autres.

Si les données personnelles de quelqu'un sont stockées dans le système, laissez-moi savoir la personne responsable de la protection des données immédiatement (Si non vous), Et ils montrent des informations complètes à révéler. Je sais que c'est difficile. Je sais que ça va faire mal. Je sais que de nombreuses entreprises veulent cacher un problème similaire, mais les affaires devront y faire face. - Et cela devrait être fait en tenant compte de toutes les lois sur la confidentialité pertinentes.

Peu importe la gênante de vos clients ennuyés si vous leur parlez du problème, ils seront beaucoup plus ennuyés si vous ne leur dites pas, et ils ne se connaissent qu'après que quelqu'un écrit de la valeur de la marchandise 8000 Dollars utilisant des données de carte de crédit qu'ils ont volé de votre site.

Tu te souviens de ce que j'ai dit plus tôt? Le mauvais s'est déjà passé. La seule question concerne la façon dont vous faites fonctionner cela.

Complètement traiter avec:

N'entrez pas dans les systèmes affectés en ligne jusqu'à ce que cette étape soit complètement terminée, à moins que vous ne souhaitiez être la personne dont la poste est devenue un tournant lorsque j'ai vraiment décidé d'écrire cet article. Je ne vais pas donner un lien à ce message afin que les gens puissent rire pas cher, mais la vraie tragédie - C'est quand les gens n'apprennent pas de leurs erreurs.

Explorez les systèmes «attaqués» pour comprendre comment les attaques ont pu compromettre votre sécurité. Attachez tous les efforts pour savoir où les attaques proviennent de «venir» pour comprendre quels problèmes vous avez et que vous devez décider de faire en sécurité votre système à l'avenir.

Explorez à nouveau les systèmes «attaqués», cette fois-ci, pour comprendre quelles attaques sont allées comprendre quels systèmes ont été compromis à la suite de l'attaque. Assurez-vous de suivre tous les pointeurs qui suggèrent que des systèmes compromis peuvent devenir un tremplin pour une attaque supplémentaire sur vos systèmes.

Sois sûr que "passerelles", Utilisé dans toutes les attaques, entièrement comprises afin que vous puissiez les commencer correctement. (Par exemple, si vos systèmes ont été compromis par une attaque à l'aide de l'injection SQL, vous n'avez besoin que de fermer une chaîne de code incorrecte spécifique qu'elles ont piratées, mais ne vérifient également que tout votre code pour voir s'il y a des erreurs du même type mené ailleurs).

Comprendre que les attaques peuvent réussir en raison de plusieurs défauts. Les attaques souvent ont abouti à détecter une erreur grave dans le système, mais en combinant plusieurs problèmes. (Parfois mineur et trivial eux-mêmes) Pour compromettre le système. Par exemple, en utilisant des attaques utilisant des injections SQL pour envoyer des commandes à un serveur de base de données, détecter un site Web attaqué. / Applications exécutées dans le contexte de l'utilisateur avec des droits d'administrateur et en utilisant les droits de ce compte en tant que tremplin pour compromettre d'autres types de pièces. Ou, comme ils aiment appeler cela un pirate informatique: "Un autre jour dans le bureau qui utilise des erreurs courantes de personnes."

Pourquoi ne pas "réparer" l'exploit ou le rootkit que vous avez découvert et connectez-vous à nouveau le système?

Dans de telles situations, le problème est que vous ne contrôlez plus ce système. Ce n'est plus votre ordinateur.

La seule façon d'être

certain

Qu'est-ce que vous avez le contrôle sur le système - Alors reconstruisez le système. Bien que la détection et la correction de l'exploitation utilisée pour effacer le système revêtent une grande importance, vous ne pouvez pas être sûr que cela a été fait avec le système après le contrôle des attaquants (En effet, ce n'est pas quelque chose d'inhabituel pour les pirateuses qui récupèrent des systèmes dans un botnet pour corriger les exploits qu'ils utilisaient eux-mêmes pour protéger le nouvel ordinateur d'autres pirates, ainsi que pour installer leurs rootkits).

Faites un plan de récupération et retournez votre site en ligne et tenez-y:

Personne ne veut rester hors ligne plus longtemps que nécessaire. Ceci est accordé. Si ce site Web est un mécanisme apportant un revenu, la pression pour le retourner rapidement sera forte. Même si la seule chose qui est mise sur la carte, - Ceci est votre réputation / Votre entreprise, il fera toujours une grande pression pour restaurer rapidement la position.

Cependant, ne cédez pas à la tentation trop rapidement sur Internet. Au lieu de cela, agissez plutôt la plus rapidement possible pour comprendre ce qui a causé le problème et décidez-le avant de vous connecter au réseau, sinon vous allez presque certainement devenir victime de l'invasion, et rappelez-vous que »pour être piraté une fois que vous pouvez classer comme malheur; Être piraté immédiatement après que cela semble négligence »(Oskar wilde).

Je suppose que vous avez compris tous les problèmes qui ont conduit à une invasion réussie, tout d'abord avant le début de cette section. Je ne veux pas exagérer, mais si vous ne l'avez pas fait, vous avez vraiment besoin. Pardon.

Ne payez jamais de l'argent pour le chantage / Protection. Il s'agit d'un signe d'évaluation facile et vous ne voulez pas que cette phrase soit utilisée pour votre description.

Ne cédez pas à la tentation à nouveau connecter le même serveur (s) sans restructuration complète. Il devrait être beaucoup plus rapide de créer une nouvelle boîte ou "Exécuter le serveur à partir de l'orbite et d'une installation propre" sur l'ancien équipement que de vérifier chaque coin de l'ancien système pour vous assurer qu'il est propre avant de la revenir en ligne. Si vous n'êtes pas d'accord avec cela, vous ne savez probablement pas ce que signifie réellement que le système est complètement effacé ou la procédure de déploiement de votre site Web. - Horrible gâchis. Vraisemblablement, vous avez des copies de sauvegarde et un déploiement de test de votre site, que vous pouvez simplement utiliser pour créer un site de travail et si vous ne le faites pas, puis piratage - Pas le plus gros problème.

Soyez très prudent avec la réutilisation des données «vivantes» dans le système pendant le piratage. Je ne dirai pas "Jamais le faire", parce que vous m'ignorez, mais franchement, je pense que vous devez prendre en compte les effets de stocker des données lorsque vous savez que vous ne pouvez pas garantir leur intégrité. Idéalement, vous devez le restaurer à partir de la sauvegarde faite avant l'invasion. Si vous ne pouvez pas ou ne voulez pas faire cela, vous devriez faire très attention à ces données, car ils sont gâtés. Vous devez notamment connaître les conséquences pour d'autres si ces données appartiennent aux clients ou aux visiteurs du site, et non directement à vous.

Suivez soigneusement le système (un m.). Vous devriez décider de le faire comme un processus continu à l'avenir. (En savoir plus ci-dessous), Mais vous effectuez des efforts supplémentaires pour être vigilants pendant la période suivante immédiatement après que votre site soit à nouveau en ligne. Les attaquants vont presque certainement revenir, et si vous remarquez qu'ils essaient d'envahir à nouveau, vous verrez probablement rapidement si vous avez vraiment fermé tous les trous qu'ils utilisaient auparavant, ainsi que ceux qu'ils ont fait pour nous-mêmes et vous pouvez collecter des informations utiles que vous avez peut transférer des organismes d'application de la loi locaux.


Réduction des risques à l'avenir.

La première chose que vous devez comprendre est que la sécurité - Il s'agit d'un processus que vous devez appliquer tout au long du cycle de vie de la conception, du déploiement et de la maintenance d'un système avec un accès Internet, et non de ce que vous pouvez ensuite appliquer à votre code dans plusieurs couches, en tant que peinture bon marché. Pour être correctement protégé, le service et l'application doivent être conçus dès le début, en tenant compte de cela comme l'un des principaux objectifs du projet. Je comprends que c'est ennuyeux, et vous avez tous entendu cela plus tôt, et que je "juste pas au courant de qui presses" Traduction de votre version bêta Web2.0 (bêta) Dans le statut de la version bêta sur Internet, mais le fait est qu'il préserve les répétitions, car il était vrai pour la première fois et il n'est pas encore devenu un mensonge.

Vous ne pouvez pas exclure le risque. Vous n'avez même pas besoin d'essayer de le faire. Cependant, vous devez comprendre quel type de risque de sécurité est important pour vous et comprendre comment gérer et réduire à la fois l'influence du risque et la probabilité de son événement.

Quelles mesures pouvez-vous prendre pour réduire la probabilité du succès de l'attaque?

Par exemple:

La déficience a-t-elle permis aux gens de pirater votre site, une erreur connue dans le code du fournisseur, pour laquelle le patch était disponible? Si oui, devez-vous repenser votre approche pour corriger les applications sur des serveurs avec accès à Internet?

L'inconvénient a-t-il permis aux gens de pirater votre site erreur inconnue dans le code du fournisseur pour lequel la correction n'était pas disponible? Je ne recommande vraiment pas de changer de fournisseurs chaque fois que quelque chose comme vous vous meunerez, car tout le monde a ses propres problèmes, et vous mettrez fin à la plate-forme au maximum de l'année si vous acceptez cette approche. Cependant, si le système vous prête constamment, vous devriez soit aller à quelque chose de plus fiable, soit au moins de reconstruire votre système afin que les composants vulnérables restent enveloppés dans la laine et autant que possible des yeux hostiles.

Était une erreur d'erreur dans le code développé par vous (ou entrepreneur travaillant pour vous)? Si oui, devez-vous repenser votre approche du code d'approbation pour le déploiement sur votre site actuel? L'erreur peut-elle être détectée à l'aide d'un système de test amélioré ou des modifications de votre "norme de codage" (Par exemple, bien que la technologie ne soit pas une panacée, vous pouvez réduire la probabilité d'une attaque réussie à l'aide d'injections SQL utilisant des méthodes de codage bien documentées. ).

L'absence de problème de la manière dont le logiciel serveur ou application a été étendu? Si tel est le cas, utilisez-vous des procédures automatisées pour créer et déployer des serveurs dans la mesure du possible? Il s'agit d'une excellente assistance pour maintenir un état "de base" série sur tous vos serveurs, minimisant ainsi la quantité de travaux personnalisés, qui devraient être effectuées sur chacun d'eux et, par conséquent, nous espérons minimiser la possibilité d'une erreur. La même chose avec le déploiement du code - Si vous devez faire quelque chose de «spécial» pour déployer la dernière version de votre application Web, essayez d'automatiser cela et assurez-vous qu'il a toujours été effectué uniformément.

L'invasion pourrait-elle être détectée plus tôt avec une surveillance améliorée de vos systèmes? Bien entendu, un système de surveillance ou d'appel de 24 heures pour vos employés peut être inefficace en termes de coûts, mais il existe des entreprises qui peuvent suivre vos services Web pour vous et vous avertir en cas de problème. Vous pouvez décider que vous ne pouvez pas vous le permettre ni n'en avez pas besoin, et c'est normal ... Juste l'accepter en compte.

Si nécessaire, utilisez des outils tels que tripwire et nessus, Mais ne les utilisez pas aveuglément, parce que je l'ai dit. Prenez le temps d'apprendre à utiliser de bons outils de sécurité adaptés à votre environnement, mettez à jour ces outils et utilisez-les régulièrement.

Considérez la possibilité d'embaucher des experts en sécurité pour une sécurité régulière de votre site Web. Encore une fois, vous pouvez décider que vous ne pouvez pas vous le permettre ni n'en avez pas besoin, et c'est normal ... Juste l'accepter en compte.

Quelles mesures pouvez-vous prendre pour réduire les conséquences d'une attaque réussie?

Si vous décidez que le «risque» d'inondation de l'étage inférieur de votre maison est élevé, mais pas assez pour garantir le mouvement, vous devriez au moins déplacer les reliques familiales indispensables à l'étage. Correctement?

Pouvez-vous réduire le nombre de services directement disponibles sur Internet? Pouvez-vous enregistrer un espace entre vos services internes et services liés à Internet? Cela garantit que même si vos systèmes externes sont compromis, les chances de l'utiliser comme une tête de pont pour attaquer sur vos systèmes internes sont limitées.

Conservez-vous les informations que vous n'avez pas besoin de stocker? Plongez-vous de telles informations "sur le réseau" quand il pourrait être archivé ailleurs. Il y a deux points dans cette partie; Il est évident que les gens ne peuvent pas voler les informations que vous n'avez pas et que le deuxième point est que le plus petit que vous gardez, moins vous devez maintenir et encoder, et donc moins de chances que les erreurs glisseront dans votre code ou votre conception du système.

Utilisez-vous le «plus petit accès» pour votre application Web? Si les utilisateurs n'ont besoin que de lire à partir de la base de données, assurez-vous que le compte utilisé par l'application Web utilise pour sa maintenance a un accès en lecture seule, ne lui permettez pas d'écriture de l'accès et, bien sûr, pas d'accès au niveau du système.

Si vous n'avez pas beaucoup d'expérience dans quelque chose et que votre entreprise n'a pas d'importance pour votre entreprise, pensez au transfert de celui-ci à la sous-traitance. En d'autres termes, si vous exécutez un petit site Web, qui indique à propos de l'écriture du code de bureau et décidez de commencer à vendre de petites applications de bureau à partir de ce site, puis réfléchissez à un système de commande de carte de crédit à quelqu'un comme Paypal.

Si possible, effectuez une restauration pratique de systèmes compromis une partie de votre plan de récupération d'urgence. Il est possible, juste un autre "script de catastrophe", avec lequel vous pouvez rencontrer, juste un script avec votre propre ensemble de problèmes et de problèmes autres que l'habituel "salle serveur capturé le feu" / "Il a été capturé par des serveurs gigantesques dévorant Furba."

... Pour terminer

Je n'ai probablement pas manqué le fait que d'autres sont considérés comme importants, mais les étapes décrites ci-dessus doivent au moins vous aider à commencer à comprendre la situation si vous n'avez pas de chance de devenir victime de hackers.

Tout d'abord: Ne paniquez pas. Pense avant de faire. Agissez fermement dès que vous avez décidé et laissez un commentaire ci-dessous si vous avez quelque chose à ajouter à ma liste d'étapes.

Babette

Confirmation de:

On dirait qu'ils sont légèrement au-dessus de leur tête; Tout va bien. Appelez votre patron et lancez des négociations sur le budget d'intervention d'urgence. 10 000 Les dollars peuvent être un bon départ. Ensuite, vous devez trouver quelqu'un (PFY, Collègue, responsable), Pour qu'il ait commencé à appeler dans l'entreprise, spécialisée dans la réponse aux incidents de sécurité. Beaucoup peuvent répondre pour 24 heures, et parfois plus vite s'ils ont un bureau dans votre ville.

Vous avez également besoin de quelqu'un pour trier les clients; Sans aucun doute, quelqu'un est déjà là. Quelqu'un devrait être avec eux par téléphone pour expliquer ce qui se passe ce qui est fait pour résoudre la situation et répondre à leurs questions.

Ensuite, vous avez besoin ...

Calmer. Si vous êtes responsable de répondre aux incidents, ce que vous faites maintenant devrait démontrer le professionnalisme et le leadership le plus élevé. Documentez tout ce que vous faites et informez votre responsable et l'équipe de direction des actions de base que vous prenez; Cela inclut de travailler avec un groupe de réponses, de désactiver des serveurs, de sauvegarder des données et de se connecter au réseau. Ils n'ont pas besoin de détails sanglants, mais ils recevront les nouvelles de votre part tous les 30 minutes environ.

Être réaliste. Vous n'êtes pas un professionnel dans le domaine de la sécurité et il y a des choses sur lesquelles vous ne connaissez pas. Tout va bien. Lorsque vous entrez des serveurs et affichez des données, vous devez comprendre vos limitations. Agir soigneusement. Au cours de l'enquête, assurez-vous de ne pas trop en faire avec des informations importantes et de ne pas changer ce que vous pourriez avoir besoin plus tard. Si vous vous sentez mal à l'aise ou que vous devinez, c'est un bon endroit pour arrêter et demander à un professionnel expérimenté de le prendre sur vous-même.

Prenez un lecteur flash propre et des disques durs de rechange. Ici vous collecterez des preuves. Faire des copies de sauvegarde de tout ce que vous pensez être pertinent; Communication avec votre fournisseur Internet, décharges réseau, etc. Même si les organismes chargés de l'application de la loi n'interfèrent pas, dans le cas de l'essai, vous aurez besoin de ces preuves afin de prouver que votre entreprise a bien géré le professionnel de l'incident de sécurité et correctement.

La chose la plus importante - Arrêter la perte. Détection et désactivation de l'accès aux services, données et machines piratés. Il est conseillé de tirer sur leur câble réseau; Si vous ne pouvez pas, tirez le pouvoir.

Ensuite, vous devez enlever l'attaquant et fermer le trou (je). Vraisemblablement, l'attaquant n'a plus accès interactif, car vous avez tiré le réseau. Maintenant, vous devez identifier, documenté (avec des sauvegardes, des captures d'écran et de vos notes d'observation personnelles; Ou, il est souhaitable, même enlever les disques des serveurs affectés et effectuant une copie complète de l'image disque), Puis supprimez n'importe quel code et traite qu'il est parti. . La partie suivante sera cycée si vous n'avez pas de sauvegarde; Vous pouvez essayer de démêler manuellement l'attaquant du système, mais vous ne serez jamais sûr que tout le monde reste. Les rootkits sont vicieux et tous ne sont pas détectés. La meilleure réponse sera l'identification de la vulnérabilité qu'elle utilisait pour pénétrer, créant des copies des images des disques affectés, puis nettoyez les systèmes affectés et redémarrez à partir d'une sauvegarde délibérément bonne. Ne faites pas confiance à la sauvegarde aveugle; vérifie ça! Éliminer ou fermer une vulnérabilité avant que le nouvel hôte n'apparaisse à nouveau sur le réseau, puis transférez-le au mode opérationnel.

Organisez toutes vos données dans le rapport. À ce stade, la vulnérabilité est fermée et vous avez le temps de vous reposer. Ne cédez pas en tentation de sauter cette étape; Il est encore plus important que le reste du processus. Dans le rapport, vous devez préciser qu'elle a mal tourné la réponse de votre équipe et quelles mesures vous faites pour empêcher la répétition de cet incident. Être aussi détaillé que possible; Ce n'est pas seulement pour vous, mais aussi pour votre leadership et en tant que défense dans un processus juridique potentiel.

Ceci est un examen transcendant de quoi faire; La plupart des travaux - Ceci est simplement une documentation et une sauvegarde. Ne paniquez pas, vous pouvez le faire. je

fort

Je vous recommande d'obtenir une assistance de sécurité professionnelle. Même si vous pouvez faire face à ce qui se passe, leur aide sera inestimable et viendra habituellement avec du matériel pour faciliter le processus et plus rapidement. Si votre patron s'oppose à un tel prix, rappelez-lui qu'il est très peu comparé au procès.

Prenez ma consolation dans votre situation. Bonne chance.

Hannah

Confirmation de:

CERT A un document
http://www.cert.org/tech_tips/ ... .html
c'est bon. Des détails techniques spécifiques de ce document sont quelque peu obsolètes, mais de nombreux conseils généraux sont toujours applicables.

Voici un résumé des principales étapes.

Consultez votre politique de sécurité ou votre manuel.

Obtenir le contrôle (Déconnectez votre ordinateur)

Analyser l'invasion, obtenez des magazines, découvrez ce qui s'est mal passé

Personnel de réparation

Installez la version propre de votre système d'exploitation !!! Si le système a été piraté, vous ne pouvez pas lui faire confiance, point.

Mettre à jour les systèmes pour ne pas se reproduire

Consumer les opérations

Mettez à jour votre future politique et documenté

Je veux surtout indiquer la section E.1.

E.1. N'oubliez pas que si l'ordinateur est compromis, tout dans ce système pourrait être modifié, y compris le noyau, les fichiers binaires, les fichiers de données, les processus d'exécution et la mémoire. En général, le seul moyen de vous assurer que la machine est exempte de backdors et de modifications des intrus, - Il réinstalle de travailler

Si vous n'avez toujours pas un tel système comme tripwire, Vous n'avez pas la possibilité d'être sur 100% Confiant que vous avez nettoyé le système.

Christine

Confirmation de:

Déterminer

ce problème. Lire les journaux.

Contenir

. Vous avez désactivé le serveur, prêt.

Éradiquer

. Très probablement, réinstallez le système concerné. Ne pas effacer le disque dur piraté, utilisez un nouveau. C'est plus sûr et vous aurez peut-être besoin de vieux pour restaurer le piratage laids, dont les copies de sauvegarde n'étaient pas créées et pour mener un examen médical médico-légal pour découvrir ce qui s'est passé.

Rétablir

. Installez tout ce dont vous avez besoin et restaurez des sauvegardes sur vos clients sur le réseau.

Suivre

. Découvrez quel est le problème et empêcher la répétition.

Hannah

Confirmation de:

"Pilule amère" Robert précis, mais totalement général (Eh bien, comme votre question). Il semble que vous ayez un problème de gestion et vous avez besoin d'une aiguille active dans un administrateur système constant si vous avez un serveur et 600 Les clients, mais maintenant cela ne vous aide pas.

Je gère la société d'hébergement qui aide dans cette situation, donc je traite de nombreuses machines compromises, ainsi que d'utiliser les meilleures pratiques pour notre propre. Nous parlons toujours nos clients compromis pour restaurer le système s'ils ne sont pas assez confiants dans la nature du compromis. Il n'y a pas d'autre chemin responsable à long terme.

Cependant, vous êtes presque certainement victime d'un violoniste qui souhaitait un coussinet de départ pour des attaques à DOS ou des vidants IRC, Ou quelque chose de complètement inconnu avec des sites et des données de vos clients. Par conséquent, en tant que mesure temporaire, vous pouvez envisager la possibilité d'installer de lourds pare-feu de trafic sortant sur votre ordinateur. Si vous pouvez bloquer tous sortants UDP- et les connexions TCP qui ne sont pas absolument nécessaires au travail de vos sites, vous pouvez facilement rendre votre boîte compromise inutile pour ceux qui l'empruntent et réduisent l'impact sur le réseau de votre fournisseur.

Ce processus peut prendre plusieurs heures si vous n'avez pas fait avant et jamais considéré comme pare-feu, mais cela peut vous aider à restaurer le service à la clientèle.

Avec le risque de continuer à fournir à un attaquant d'accéder à vos clients

. Comme vous dites que vous avez des centaines de clients sur une machine, je suppose que vous placez de petits sites Web avec des brochures pour les petites entreprises et non 600 Systèmes de commerce électronique rempli de numéros de carte de crédit. Si tel est le cas, cela peut être un risque acceptable pour vous et renvoyer votre système en mode opérationnel plus rapidement que la vérification 600 Sites pour les erreurs de sécurité.

de face

Vous apportez quelque chose en arrière. Mais vous saurez quelles données y a-t-il et à quel point vous prendrez cette décision.

Ce n'est absolument pas la meilleure pratique, mais si ce n'est pas ce qui est arrivé à votre employeur jusqu'à présent, poursuivez votre doigt et demandez des dizaines de milliers de livres pour l'équipe des forces spéciales pour ce qu'ils peuvent trouver votre erreur (Quel que soit déraisonnable! ) Cela ne ressemble pas à une option pratique.

Aider votre fournisseur Internet ici sera très important - Certains fournisseurs d'Internet
http://www.bytemark.co.uk/supp ... shell
(Connectez, mais au moins vous savez ce que signifie rechercher), Ce qui vous permettra de gérer le serveur lorsqu'il est déconnecté du réseau. S'il s'agit généralement d'une option, demandez-le et utilisez-le.

Mais à long terme, vous devez planifier la restructuration du système sur la base du message de Robert, ainsi que de l'audit de chaque site et de sa configuration. Si vous ne pouvez pas ajouter d'administrateur système à votre équipe, recherchez-vous
http://www.bytemark.co.uk/managed_hosting
La transaction à laquelle vous payez votre fournisseur en ligne pour l'aide d'un administrateur système et d'une réponse ouverte 24h / 24 à de telles choses. Bonne chance :)

Hannah

Confirmation de:

Vous devez réinstaller. Économisez ce que vous avez vraiment besoin. Mais gardez à l'esprit que tous vos fichiers exécutables peuvent être infectés ou modifiés. J'ai écrit sur Python ce qui suit:
http://frw.se/monty.py
Ce qui crée les somme MD5 de tous vos fichiers dans ce répertoire et, au prochain démarrage, il vérifie si cela a été modifié, puis affiche les fichiers modifiés et ce qui a changé dans les fichiers.

Il peut être pratique pour vous de voir, modifier régulièrement des fichiers étranges.

Mais la seule chose que vous devez faire est maintenant, - Ceci supprimer votre ordinateur sur Internet.

Christine

Confirmation de:

REMARQUE:

Ce n'est pas une recommandation. Mon béton

Réponse à l'incident

protocole

probablement pas

Il n'est pas appliqué inchangé à l'entreprise de subvention.

Dans nos écoles agit autour 300 Les chercheurs qui sont engagés uniquement par des calculs. Tu 600 Les clients avec des sites Web, votre protocole est donc susceptible d'être différent.

Premiers pas dans notre

Lorsque le serveur reçoit un protocole piraté

est un:

Déterminer que l'attaquant a pu obtenir root (Augmentation des privilèges)

Désactiver les serveurs affectés. Réseau ou pouvoir? Regarde ça s'il te plait
https://serverfault.com/questi ... 18311
.

Vérifiez tous les autres systèmes

Téléchargez les serveurs affectés d'un CD en direct

(optionnel)

Prenez des images de tous les disques du système avec

dd

Commencez à dépenser un examen pathoanatomique. Regardez les journaux, découvrez le temps d'attaque, trouvez les fichiers qui ont été changés au cours de cette période. Essayez de répondre à

Comment?

question.

En parallèle, planifier et récupérer.

Réinitialiser tous les mots de passe root et les utilisateurs avant de renouveler le service


Même si "tous les backdors et rootkits sont nettoyés", ne faites pas confiance à ce système - Réinstaller de zéro.

Giselle

Confirmation de:

Dans mon expérience limitée, compromettez le système dans Linux généralement plus "global" que dans Windows. Très probablement, les rootkits permettront de remplacer les fichiers binaires système avec un code personnalisé pour masquer le logiciel nocif et la barrière pour l'installation de noyau chaud est légèrement inférieure. En outre, il s'agit d'un système d'exploitation fabriqué à domicile pour de nombreux auteurs de programmes malveillants. Leadership général - Restaurez toujours un serveur endommagé à partir de zéro, ce qui est un guide général pour une certaine raison.

Formatez ce chiot.

Mais si vous ne pouvez pas restaurer (ou la puissance des articles ne vous permettra pas de la restaurer contre votre persistance tendue qu'il en a besoin), Que cherchez-vous?

Parce qu'il semble que, puisque la découverte de l'invasion a passé quelque temps et que la restauration du système a été réalisée, il est très probable que les pistes de la manière dont ils pénétraient ont été inondées de pression pour restaurer le service. Malheureux.

Le trafic réseau inhabituel est probablement le moyen le plus simple de détecter, car il ne nécessite pas le lancement de quelque chose sur l'ordinateur et peut être exécuté pendant que le serveur fonctionne et fait n'importe quoi. En supposant, bien sûr, que votre équipement de réseau vous permet d'utiliser des ports. Ce que vous trouvez peut être ou ne pas être diagnostique, mais au moins cela est des informations. L'obtention d'un trafic inhabituel sera une preuve pondérée que le système est toujours piraté et nécessite une correction. Il peut suffire de convaincre TPTB Dans cette reformatation coûte vraiment au ralenti.

Sinon, prenez une copie DD des sections de votre système et les a montées sur un autre ordinateur. Commencez à comparer le contenu avec le serveur au même niveau de patchs, ce qui est piraté. Cela devrait vous aider à déterminer ce qui a l'air différent (encore ceux qui md5sums) Et peut indiquer les zones manquées sur le serveur compromis. Il s'agit de nombreux catalogues et fichiers binaires, et il sera tout à fait laborieux. Il peut s'agir encore plus de coûts de main-d'œuvre que de reformatage / reconnecter, et peut-être que c'est une autre chose quand TPTB Peut réellement effectuer le reformatage qu'il a vraiment besoin.

Babette

Confirmation de:

je dirais que @Robert Moir, @Aleksandr Levchuk, @blueben et @Matthew Bloch étaient en grande partie exactes dans leurs réponses.

Cependant, les réponses de différentes affiches diffèrent - Certains d'entre eux sont plus de niveau et parlent de quelles procédures à utiliser (en général).

Je préférerais le diviser en plusieurs parties distinctes 1) Tri, également appelé comment travailler avec des clients et des conséquences juridiques, et déterminer quoi faire de là (Très bien listé par Robert et @blueben 2) Exposition adoucissante 3 ) Réponse à l'incident 4) Examen pathoanatomique 5) Éléments correctionnels et changements d'architecture

(Insérer ici le modèle Réponse certifié SANS GSC) Basé sur l'expérience passée, je dirais ce qui suit:

Quelle que soit la manière dont vous gérez les réponses des clients, les notifications, les problèmes juridiques et les plans pour l'avenir, je préférerais de vous concentrer sur le problème principal. La question initiale OP s'applique vraiment seulement directement à № 2 et № 3, Fondamentalement, comment arrêter l'attaque, retourner les clients en mode opérationnel dès que possible dans leur état initial, qui est décrit en détail dans les réponses.

Les réponses restantes sont excellentes et couvrent de nombreuses meilleures pratiques identifiées et des moyens d'empêcher la même chose à l'avenir, de réagir plus efficacement à cela.

Cela dépend vraiment du budget de l'OP et du secteur de l'industrie qu'ils travaillent, quelle est la décision souhaitée, etc.

Peut-être qu'ils ont besoin d'embaucher une spéciale SA Sur place. Peut-être qu'ils ont besoin d'un gardien de sécurité. Ou peut-être qu'ils ont besoin d'une solution entièrement gérée, telle que Firehost ou Rackspace Managed, Softlayer, ServePath etc.

Cela dépend vraiment de ce qui fonctionne pour leur entreprise. Peut-être que leur compétence principale n'est pas dans la gestion des serveurs, et il n'a aucun sens d'essayer de le développer. Ou peut-être qu'ils sont déjà une très jolie organisation technique et peuvent prendre les bonnes décisions en matière d'embauche et d'attirer une équipe spéciale à plein taux.

Agathe

Confirmation de:

Après avoir commencé à travailler et avons examiné le serveur, nous avons réussi à déterminer le problème. Heureusement, des fichiers malveillants ont été téléchargés sur le système dimanche, lorsque le bureau est fermé et qu'aucun fichier ne doit être créé, à l'exception des fichiers journaux et des fichiers de cache. Avec l'aide d'une simple équipe de shell pour savoir quels fichiers ont été créés ce jour-là, nous les avons trouvés.

Tous les fichiers malveillants semblent être dans le dossier / images / Sur certains de nos vieux sites zencart. Il semble que la vulnérabilité de sécurité autorisée (par curl) À n'importe quel idiot de télécharger non-image dans la section de téléchargement de l'image dans la section Administrateur. Nous avons supprimé des fichiers offensants. .php Et corrigé les scénarios de téléchargement qui interdisent le téléchargement de fichiers sauf images.

En regardant en arrière, on peut dire que c'était assez simple et j'ai soulevé cette question sur mon iPhone Sur le chemin du travail. Merci pour vos gars de votre aide.

Pour la référence de tous ceux qui visiteront ce post à l'avenir. Je vais

ne pas

Je recommande de tirer la fiche de la prise.

Agathe

Confirmation de:

Je peux faire peu de réponses techniques détaillées, mais faites également attention à certains d'entre eux:

Actions NOTECHNIQUES:


Rapport incident au sein de la société.

Si vous n'avez pas encore de plan d'intervention sur l'incident pouvant sembler méthode CYA, mais le service informatique - pas le seul et souvent pas même le meilleur endroit pour déterminer

Impact sur les affaires

Serveur complet.

Les exigences commerciales peuvent dépasser vos problèmes techniques. Ne dites pas: "Je t'ai dit" et cette priorité des entreprises - C'est principalement la raison pour laquelle vous avez un serveur piraté. ("

Laissez-le pour un rapport sur les actions.

")

Incident de sécurité tenant - pas une option.


Rapport devant les autorités locales.

ServerFault Ce n'est pas un lieu de conseil juridique, mais c'est ce qui devrait être inclus dans le plan d'intervention des incidents.

Dans certaines colonies et ​​/ ou des secteurs réglementés rapportent nécessairement (O quelques) incidents de sécurité ou application de la loi locale, autorités de réglementation ou informer les clients concernés / utilisateurs.

Néanmoins, ni la décision concernant la fourniture d'un rapport, ni le rapport ne sont prises exclusivement par le service informatique. Attendez-vous à la participation de la gestion, de la communication juridique et d'entreprise (Commercialisation).

Probablement, vous ne devriez pas vous attendre trop, Internet - Un grand lieu où les frontières ne sont pas importantes, mais les ministères de la cybercriminalité qui existent dans de nombreux services de police révèlent réellement des crimes numériques et peuvent attirer la responsabilité.

Hannah

Confirmation de:

Je me suis récemment aidé un bon service en ligne pour savoir comment un attaquant peut pirater le système. Certains pirates tentent de cacher leurs traces, de forger le temps de modification de temps. Lors du changement de temps de modification, le temps de modification est mis à jour (ctime). tu peux voir ctime par stat.

Cette doublure répertorie tous les fichiers triés par ctime:

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

Par conséquent, si vous approchez du temps de piratage temporel, vous pouvez voir quels fichiers ont été modifiés ou créés.

Alice

Confirmation de:

Je pense que tout se résume à ce qui suit:

Si vous appréciez votre travail, vous feriez mieux d'avoir un plan et de l'examiner régulièrement.

Défaut de planifier - Ceci est prévu d'échouer, ce qui est vrai uniquement pour la sécurité du système. lorsque

<Édité>

Innoms un fan, mieux préparez-vous à y faire face.

Il y en a un autre (Plusieurs tamponnés) La déclaration qui s'applique ici:

La prévention est meilleure que le traitement

.

Un certain nombre de recommandations ont été données ici pour attirer des experts pour auditer vos systèmes existants. Je pense que je pose la question n'est pas à cette époque. Cette question était nécessaire pour définir lorsque le système a été mis en œuvre et les réponses sont documentées. En outre, la question ne devrait pas ressembler à ceci: "Comment pouvons-nous empêcher la pénétration des personnes?" Il devrait être "pourquoi les gens devraient pouvoir pirater du tout?" L'audit de plusieurs trous de votre réseau ne fonctionnera que jusqu'à ce que de nouveaux trous soient détectés et utilisés. D'autre part, un réseau conçu à partir de zéro pour ne répondre que d'une certaine manière à certains systèmes dans une danse soigneusement planifiée, ne bénéficiera pas du tout de l'audit, et les moyens seront gaspillés.

Avant de connecter le système à Internet, demandez-vous. - Devrait-elle être complètement connectée à Internet? Sinon, ce n'est pas nécessaire. Pensez à la mettre pour le pare-feu afin que vous puissiez décider de ce qui voit Internet. Mieux encore si le Brandmauer mentionné vous permet d'intercepter des transferts (À travers un serveur de proxy inverse ou tout filtre de bout en bout), Regardez son utilisation pour ne résoudre que l'action en justice.

C'était fait - quelque part là-bas (ou était) Installation de la banque d'Internet avec un serveur proxy de dépannements d'équilibrage de charge, qu'ils allaient utiliser pour des attaques vectorielles en dehors de leur piscine de serveurs. Expert en sécurité Marcus Ranum les a convaincus de prendre l'approche opposée,
http://web.archive.org/web/201 ... .html
. Il a bien surpris de tester le test de temps.

Le système ou le réseau basé sur la résolution par défaut est condamné à une défaillance si une attaque se produit que vous n'avez pas prévu. L'interdiction par défaut vous donne un contrôle beaucoup plus important sur ce qui est inclus, et ce qui n'est pas, car vous ne laissez rien à l'intérieur à être vu à l'extérieur

Si c'est fou, bon ne devrait pas être

.

Néanmoins, tout ce n'est pas une raison de la complaisance. Vous devez toujours avoir un plan pour les premières heures après violation. Il n'y a pas de système idéal et les gens font des erreurs.

Pour répondre aux questions, connectez-vous ou registre