it-swarm.com.de

Wie gehe ich mit einem kompromittierten Server um?

Dies ist ein Canonical Question über Serversicherheit - Reagieren auf Sicherheitsverletzungen (Hacking)
Siehe auch:

Kanonische Version
Ich vermute, dass einer oder mehrere meiner Server durch einen Hacker, einen Virus oder einen anderen Mechanismus gefährdet sind:

  • Was sind meine ersten Schritte? Wenn ich vor Ort ankomme, sollte ich den Server trennen, "Beweise" aufbewahren, gibt es andere anfängliche Überlegungen?
  • Wie gehe ich vor, um Dienste wieder online zu stellen?
  • Wie verhindere ich, dass dasselbe sofort wieder passiert?
  • Gibt es Best Practices oder Methoden, um aus diesem Vorfall zu lernen?
  • Wo würde ich anfangen, wenn ich einen Incident Response Plan zusammenstellen wollte? Sollte dies Teil meiner Disaster Recovery- oder Business Continuity-Planung sein?

Originalversion

2011.01.02 - Ich bin um 21.30 Uhr auf dem Weg zur Arbeit. an einem Sonntag, weil unser Server irgendwie kompromittiert wurde und zu einem DOS Angriff auf unseren Provider führte. Der Serverzugriff auf das Internet wurde geschlossen, was bedeutet, dass mehr als 5-600 Websites unserer Kunden jetzt nicht mehr verfügbar sind. Dies könnte ein FTP-Hack oder eine Code-Schwäche sein. Ich bin mir nicht sicher, bis ich dort bin.

Wie kann ich das schnell finden? Wir haben eine Menge Rechtsstreitigkeiten, wenn ich den Server nicht so schnell wie möglich wieder in Betrieb nehme. Jede Hilfe wird geschätzt. Wir führen Open SUSE 11.0 aus.


2011.01.03 - Vielen Dank an alle für Ihre Hilfe. Zum Glück war ich nicht die einzige Person, die für diesen Server verantwortlich war, sondern nur die nächste. Wir haben es geschafft, dieses Problem zu lösen, obwohl es möglicherweise nicht für viele andere in einer anderen Situation gilt. Ich werde detailliert beschreiben, was wir getan haben.

Wir haben den Server vom Netz getrennt. Es wurde ein Denial-of-Service-Angriff auf einen anderen Server in Indonesien durchgeführt (und versucht, diesen durchzuführen), und der Schuldige war auch dort ansässig.

Wir haben zunächst versucht herauszufinden, woher dies auf dem Server stammt. Angesichts der Tatsache, dass wir über 500 Websites auf dem Server haben, haben wir erwartet, dass es für einige Zeit Mondschein gibt. Bei weiterhinem SSH-Zugriff haben wir jedoch einen Befehl ausgeführt, um alle Dateien zu finden, die zum Zeitpunkt des Angriffsbeginns bearbeitet oder erstellt wurden. Glücklicherweise wurde die fehlerhafte Datei über die Winterferien erstellt, was bedeutete, dass zu diesem Zeitpunkt nicht viele andere Dateien auf dem Server erstellt wurden.

Wir konnten dann die fehlerhafte Datei identifizieren, die sich im Ordner für hochgeladene Bilder auf einer ZenCart Website befand.

Nach einer kurzen Zigarettenpause kamen wir zu dem Schluss, dass es aufgrund des Speicherorts der Dateien über eine nicht ausreichend gesicherte Datei-Upload-Funktion hochgeladen worden sein muss. Nach einigem googeln stellten wir fest, dass es eine Sicherheitslücke gab, durch die Dateien im ZenCart-Administrationsbereich für ein Bild für eine Plattenfirma hochgeladen werden konnten. (Der Abschnitt, den es nie wirklich verwendet hat) Beim Posten dieses Formulars wurde nur eine Datei hochgeladen, die Dateierweiterung nicht überprüft und nicht einmal überprüft, ob der Benutzer angemeldet war.

Dies bedeutete, dass alle Dateien hochgeladen werden konnten, einschließlich einer PHP - Datei für den Angriff. Wir haben die Sicherheitsanfälligkeit mit ZenCart auf der infizierten Site gesichert und die fehlerhaften Dateien entfernt.

Die Arbeit war erledigt und ich war für 2 Uhr morgens zu Hause.


The Moral - Wenden Sie immer Sicherheitspatches für ZenCart oder ein anderes CMS-System an. Wie bei der Veröffentlichung von Sicherheitsupdates wird die ganze Welt auf die Sicherheitsanfälligkeit aufmerksam gemacht. - Führen Sie immer Sicherungen durch und sichern Sie Ihre Sicherungen. - Stellen Sie jemanden ein oder arrangieren Sie ihn, der in Zeiten wie diesen da sein wird. Um zu verhindern, dass sich jemand auf einen panischen Beitrag zu Server Fault verlässt.

607
gunwin

Es ist schwer, spezifische Ratschläge von dem zu geben, was Sie hier gepostet haben, aber ich habe einige allgemeine Ratschläge, die auf einem Beitrag basieren, den ich vor langer Zeit geschrieben habe, als ich mich noch die Mühe machen konnte, zu bloggen.

Keine Panik

Das Wichtigste zuerst: Es gibt keine "schnellen Korrekturen" außer der Wiederherstellung Ihres Systems aus einer Sicherung, die vor dem Eindringen erstellt wurde, und dies hat mindestens zwei Probleme.

  1. Es ist schwierig zu bestimmen, wann das Eindringen passiert ist.
  2. Es hilft Ihnen nicht, das "Loch" zu schließen, durch das sie das letzte Mal eingebrochen sind, und auch nicht die Folgen eines "Datendiebstahls" zu bewältigen, der möglicherweise ebenfalls stattgefunden hat.

Diese Frage wird immer wieder von Opfern von Hackern gestellt, die in ihren Webserver eindringen. Die Antworten ändern sich sehr selten, aber die Leute stellen immer wieder die Frage. Ich bin mir nicht sicher warum. Vielleicht mögen die Leute die Antworten, die sie bei der Suche nach Hilfe gesehen haben, einfach nicht oder sie können niemanden finden, dem sie vertrauen, um ihnen Ratschläge zu geben. Oder vielleicht lesen die Leute eine Antwort auf diese Frage und konzentrieren sich zu sehr auf die 5%, warum ihr Fall speziell ist und sich von den Antworten unterscheidet, die sie online finden können, und verpassen die 95% der Frage und Antwort, wenn ihr Fall nahe genug ist als die, die sie online lesen.

Das bringt mich zum ersten wichtigen Informationsnugget. Ich weiß es wirklich zu schätzen, dass Sie eine besondere, einzigartige Schneeflocke sind. Ich weiß es zu schätzen, dass Ihre Website auch ein Spiegelbild von Ihnen und Ihrem Unternehmen oder zumindest Ihrer harten Arbeit für einen Arbeitgeber ist. Für jemanden von außen, der nach innen schaut, sei es eine Computersicherheitsperson, die sich das Problem ansieht, um Ihnen zu helfen, oder sogar der Angreifer selbst, ist es sehr wahrscheinlich, dass Ihr Problem zu mindestens 95% mit jedem anderen Fall identisch ist jemals angeschaut.

Nehmen Sie den Angriff nicht persönlich und nehmen Sie nicht die Empfehlungen an, die hier folgen oder die Sie von anderen Personen persönlich erhalten. Wenn Sie dies lesen, nachdem Sie gerade Opfer eines Website-Hacks geworden sind, tut es mir wirklich leid, und ich hoffe wirklich, dass Sie hier etwas Hilfreiches finden können, aber dies ist nicht die Zeit, Ihr Ego in die Quere kommen zu lassen, was Sie brauchen tun.

Sie haben gerade herausgefunden, dass Ihre Server gehackt wurden. Was nun?

Keine Panik. Handeln Sie auf keinen Fall in Eile und versuchen Sie auf keinen Fall, so zu tun, als wären Dinge nie passiert, und handeln Sie überhaupt nicht.

Erstens: Verstehe, dass die Katastrophe bereits passiert ist. Dies ist nicht die Zeit für Verleugnung; Es ist an der Zeit, zu akzeptieren, was passiert ist, realistisch zu sein und Schritte zu unternehmen, um die Folgen der Auswirkungen zu bewältigen.

Einige dieser Schritte werden weh tun, und (es sei denn, Ihre Website enthält eine Kopie meiner Daten) Es ist mir wirklich egal, ob Sie alle oder einige dieser Schritte ignorieren, es liegt an Ihnen. Aber wenn man ihnen richtig folgt, wird es am Ende besser. Die Medizin mag schrecklich schmecken, aber manchmal muss man das übersehen, wenn man wirklich will, dass die Heilung wirkt.

Verhindern Sie, dass sich das Problem verschlimmert, als es bereits ist:

  1. Als erstes sollten Sie die betroffenen Systeme vom Internet trennen. Unabhängig davon, welche anderen Probleme Sie haben, kann der Angriff nur fortgesetzt werden, wenn Sie das System mit dem Internet verbunden lassen. Ich meine das ganz wörtlich; Lassen Sie jemanden den Server physisch besuchen und die Netzwerkkabel abziehen, wenn dies erforderlich ist. Trennen Sie das Opfer jedoch von seinen Muggern, bevor Sie versuchen, etwas anderes zu tun.
  2. Ändern Sie alle Ihre Kennwörter für alle Konten auf allen Computern, die sich im selben Netzwerk wie die gefährdeten Systeme befinden. Nicht wirklich. Alle Konten. Alle Computer. Ja, Sie haben Recht, das könnte übertrieben sein. auf der anderen Seite könnte es nicht. Sie wissen es so oder so nicht, oder?
  3. Überprüfen Sie Ihre anderen Systeme. Achten Sie besonders auf andere mit dem Internet verbundene Dienste sowie auf Dienste, die finanzielle oder andere wirtschaftlich sensible Daten enthalten.
  4. Wenn das System personenbezogene Daten von Personen enthält, informieren Sie unverzüglich die für den Datenschutz verantwortliche Person (falls Sie es nicht sind) und fordern Sie eine vollständige Offenlegung auf. Ich weiß, dass dieser hart ist. Ich weiß, dass dieser wehtun wird. Ich weiß, dass viele Unternehmen diese Art von Problem unter den Teppich kehren wollen, aber das Unternehmen wird sich damit befassen müssen - und dies unter Berücksichtigung aller relevanten Datenschutzgesetze.

So verärgert Ihre Kunden auch sein mögen, wenn Sie ihnen von einem Problem erzählen, sie sind weitaus ärgerlicher, wenn Sie es ihnen nicht sagen, und sie finden es erst heraus, nachdem jemand Waren im Wert von 8.000 USD mit den von ihnen angegebenen Kreditkartendaten berechnet hat von Ihrer Website gestohlen.

Erinnerst du dich, was ich vorher gesagt habe? Das Schlimme ist schon passiert. Die Frage ist nur, wie gut Sie damit umgehen.

Verstehe das Problem vollständig :

  1. Stellen Sie die betroffenen Systeme NICHT wieder online, bis diese Phase vollständig abgeschlossen ist, es sei denn, Sie möchten die Person sein, deren Beitrag der Wendepunkt für mich war, als ich mich tatsächlich entschied, diesen Artikel zu schreiben. Ich werde nicht auf diesen Beitrag verlinken, damit die Leute billig lachen können, aber die wahre Tragödie ist, wenn die Leute nicht aus ihren Fehlern lernen.
  2. Untersuchen Sie die "angegriffenen" Systeme, um zu verstehen, wie die Angriffe Ihre Sicherheit gefährdet haben. Bemühen Sie sich, herauszufinden, woher die Angriffe "kamen", damit Sie verstehen, welche Probleme Sie haben und angehen müssen, um Ihr System in Zukunft sicher zu machen.
  3. Untersuchen Sie die "angegriffenen" Systeme erneut, um zu verstehen, wohin die Angriffe gingen, damit Sie verstehen, welche Systeme bei dem Angriff kompromittiert wurden. Stellen Sie sicher, dass Sie alle Hinweise befolgen, die darauf hindeuten, dass gefährdete Systeme zu einem Sprungbrett werden könnten, um Ihre Systeme weiter anzugreifen.
  4. Stellen Sie sicher, dass die bei allen Angriffen verwendeten "Gateways" vollständig verstanden sind, damit Sie sie ordnungsgemäß schließen können. (Wenn Ihre Systeme beispielsweise durch einen SQL-Injection-Angriff gefährdet wurden, müssen Sie nicht nur die fehlerhafte Codezeile schließen, durch die sie eingebrochen sind, sondern auch Ihren gesamten Code überprüfen, um festzustellen, ob dieselbe Art von Fehler vorliegt wurde woanders gemacht).
  5. Verstehen Sie, dass Angriffe aufgrund von mehr als einem Fehler erfolgreich sein können. Oft gelingt es Angriffen nicht, einen großen Fehler in einem System zu finden, sondern mehrere (manchmal geringfügige und triviale) Probleme miteinander zu verknüpfen, um ein System zu gefährden. Wenn Sie beispielsweise SQL-Injection-Angriffe verwenden, um Befehle an einen Datenbankserver zu senden, die Website/Anwendung zu ermitteln, die Sie angreifen, wird dies im Kontext eines Administratorbenutzers ausgeführt und die Rechte dieses Kontos als Sprungbrett verwendet, um andere Teile von zu gefährden ein System. Oder wie Hacker es gerne nennen: "Ein weiterer Tag im Büro, an dem häufige Fehler ausgenutzt werden, die Menschen machen".

Warum nicht einfach den Exploit oder das Rootkit "reparieren", das Sie erkannt haben, und das System wieder online stellen?

In solchen Situationen besteht das Problem darin, dass Sie die Kontrolle über dieses System nicht mehr haben. Es ist nicht mehr dein Computer.

Der einzige Weg, um sicher zu sein , dass Sie die Kontrolle über das System haben, besteht darin, das System neu zu erstellen. Es ist zwar sehr wertvoll, den Exploit zu finden und zu reparieren, mit dem in das System eingebrochen wurde, aber Sie können nicht sicher sein, was noch mit dem System geschehen ist, nachdem die Eindringlinge die Kontrolle erlangt haben (in der Tat ist dies für Hacker, die rekrutieren, nicht ungewöhnlich Systeme in ein Botnetz, um die von ihnen selbst verwendeten Exploits zu patchen, "ihren" neuen Computer vor anderen Hackern zu schützen und ihr Rootkit zu installieren).

Machen Sie einen Plan für die Wiederherstellung und bringen Sie Ihre Website wieder online und bleiben Sie dabei :

Niemand möchte länger offline sein als er sein muss. Das ist eine gegebene. Wenn es sich bei dieser Website um einen umsatzgenerierenden Mechanismus handelt, ist der Druck, sie schnell wieder online zu stellen, hoch. Selbst wenn es nur um den Ruf Ihres Unternehmens geht, wird dies immer noch einen großen Druck erzeugen, die Dinge schnell wieder in Ordnung zu bringen.

Geben Sie jedoch nicht der Versuchung nach, zu schnell wieder online zu gehen. Gehen Sie stattdessen so schnell wie möglich vor, um zu verstehen, was das Problem verursacht hat, und um es zu lösen, bevor Sie wieder online gehen. Andernfalls werden Sie mit ziemlicher Sicherheit erneut einem Eingriff zum Opfer fallen und denken Sie daran: "Einmal gehackt zu werden, kann als Unglück eingestuft werden. gleich danach wieder gehackt zu werden, sieht nach Nachlässigkeit aus "(mit Entschuldigung an Oscar Wilde).

  1. Ich gehe davon aus, dass Sie alle Probleme verstanden haben, die zu dem erfolgreichen Eindringen geführt haben, bevor Sie diesen Abschnitt überhaupt beginnen. Ich möchte den Fall nicht übertreiben, aber wenn Sie das nicht zuerst getan haben, müssen Sie es wirklich tun. Es tut uns leid.
  2. Zahlen Sie niemals Erpressungs-/Schutzgeld. Dies ist das Zeichen einer einfachen Markierung, und Sie möchten nicht, dass dieser Ausdruck Sie jemals beschreibt.
  3. Versuchen Sie nicht, dieselben Server ohne vollständige Neuerstellung wieder online zu stellen. Es sollte viel schneller sein, eine neue Box zu erstellen oder "den Server aus dem Orbit zu entfernen und eine Neuinstallation durchzuführen", als jede einzelne Ecke des alten Systems zu überprüfen, um sicherzustellen, dass es sauber ist, bevor Sie es zurücksetzen wieder online. Wenn Sie damit nicht einverstanden sind, wissen Sie wahrscheinlich nicht, was es wirklich bedeutet, sicherzustellen, dass ein System vollständig gereinigt wird, oder Ihre Website-Bereitstellungsverfahren sind ein unheiliges Durcheinander. Vermutlich verfügen Sie über Backups und Testbereitstellungen Ihrer Site, mit denen Sie nur die Live-Site erstellen können. Wenn Sie dies nicht tun, ist es nicht Ihr größtes Problem, gehackt zu werden.
  4. Seien Sie sehr vorsichtig bei der Wiederverwendung von Daten, die zum Zeitpunkt des Hacks auf dem System "live" waren. Ich werde nicht "niemals tun" sagen, weil Sie mich einfach ignorieren, aber ehrlich gesagt denke ich, dass Sie die Konsequenzen der Aufbewahrung von Daten berücksichtigen müssen, wenn Sie wissen, dass Sie deren Integrität nicht garantieren können. Idealerweise sollten Sie dies aus einer Sicherung wiederherstellen, die vor dem Eindringen erstellt wurde. Wenn Sie dies nicht können oder wollen, sollten Sie mit diesen Daten sehr vorsichtig sein, da sie verunreinigt sind. Sie sollten sich insbesondere der Konsequenzen für andere bewusst sein, wenn diese Daten Kunden oder Website-Besuchern gehören und nicht direkt Ihnen.
  5. Überwachen Sie die Systeme sorgfältig. Sie sollten sich entschließen, dies in Zukunft als fortlaufenden Prozess zu tun (siehe unten), aber Sie bemühen sich besonders, während des Zeitraums unmittelbar nach der Wiederinbetriebnahme Ihrer Website wachsam zu sein. Die Eindringlinge werden mit ziemlicher Sicherheit zurück sein, und wenn Sie sehen können, dass sie versuchen, wieder einzubrechen, werden Sie sicher schnell sehen können, ob Sie wirklich alle Löcher geschlossen haben, die sie zuvor verwendet haben, sowie alle Löcher, die sie für sich selbst gemacht haben, und Sie könnten nützliche Informationen sammeln Informationen, die Sie an Ihre örtlichen Strafverfolgungsbehörden weitergeben können.

Reduzierung des Risikos in der Zukunft.

Das erste, was Sie verstehen müssen, ist, dass Sicherheit ein Prozess ist, den Sie während des gesamten Lebenszyklus des Entwurfs, der Bereitstellung und der Wartung eines mit dem Internet verbundenen Systems anwenden müssen, und nicht etwas, das Sie anschließend wie billig ein paar Schichten über Ihren Code legen können Farbe. Um richtig sicher zu sein, müssen ein Dienst und eine Anwendung von Anfang an als eines der Hauptziele des Projekts konzipiert werden. Mir ist klar, dass das langweilig ist und Sie alles schon einmal gehört haben und dass ich "den Druckmann einfach nicht erkenne", Ihren Beta-Web2.0 (Beta) -Dienst im Web in den Beta-Status zu versetzen, aber Tatsache ist, dass dies so bleibt wiederholt werden, weil es wahr war, als es das erste Mal gesagt wurde und es noch keine Lüge geworden ist.

Sie können das Risiko nicht ausschließen. Sie sollten nicht einmal versuchen, das zu tun. Sie sollten jedoch verstehen, welche Sicherheitsrisiken für Sie wichtig sind, und wissen, wie Sie sowohl die Auswirkungen des Risikos als auch die Wahrscheinlichkeit des Eintretens des Risikos steuern und reduzieren.

Welche Schritte können Sie unternehmen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern?

Zum Beispiel:

  1. War der Fehler, der es den Leuten ermöglichte, in Ihre Site einzudringen, ein bekannter Fehler im Herstellercode, für den ein Patch verfügbar war? Wenn ja, müssen Sie Ihre Vorgehensweise beim Patchen von Anwendungen auf Ihren mit dem Internet verbundenen Servern überdenken?
  2. War der Fehler, der es den Leuten ermöglichte, in Ihre Site einzudringen, ein unbekannter Fehler im Herstellercode, für den kein Patch verfügbar war? Ich befürworte mit Sicherheit nicht, die Lieferanten zu wechseln, wenn Sie so etwas beißt, weil alle ihre Probleme haben und Ihnen die Plattformen in höchstens einem Jahr ausgehen, wenn Sie diesen Ansatz wählen. Wenn ein System Sie jedoch ständig im Stich lässt, sollten Sie entweder auf etwas Robusteres migrieren oder zumindest Ihr System neu gestalten, damit gefährdete Komponenten in Watte gewickelt und so weit wie möglich von feindlichen Augen entfernt bleiben.
  3. War der Fehler ein von Ihnen entwickelter Fehler im Code (oder ein für Sie arbeitender Auftragnehmer)? Wenn ja, müssen Sie Ihren Ansatz überdenken, wie Sie Code für die Bereitstellung auf Ihrer Live-Site genehmigen? Könnte der Fehler mit einem verbesserten Testsystem oder mit Änderungen an Ihrem Codierungsstandard behoben worden sein (obwohl Technologie kein Allheilmittel ist, können Sie die Wahrscheinlichkeit eines erfolgreichen SQL-Injection-Angriffs mithilfe gut dokumentierter Codierungstechniken verringern ).
  4. War der Fehler auf ein Problem mit der Bereitstellung des Servers oder der Anwendungssoftware zurückzuführen? Wenn ja, verwenden Sie automatisierte Verfahren, um Server zu erstellen und bereitzustellen, wo dies möglich ist? Dies ist eine große Hilfe bei der Aufrechterhaltung eines konsistenten "Basis" -Status auf allen Ihren Servern, um den Umfang der benutzerdefinierten Arbeit zu minimieren, die auf jedem einzelnen Server ausgeführt werden muss, und damit hoffentlich die Möglichkeit, dass ein Fehler gemacht wird. Gleiches gilt für die Codebereitstellung. Wenn für die Bereitstellung der neuesten Version Ihrer Webanwendung etwas "Besonderes" erforderlich ist, versuchen Sie, diese zu automatisieren und sicherzustellen, dass sie immer auf konsistente Weise ausgeführt wird.
  5. Könnte das Eindringen früher mit einer besseren Überwachung Ihrer Systeme aufgefangen worden sein? Natürlich ist eine 24-Stunden-Überwachung oder ein "Bereitschafts" -System für Ihre Mitarbeiter möglicherweise nicht kosteneffektiv, aber es gibt Unternehmen, die Ihre webbasierten Dienste für Sie überwachen und Sie im Falle eines Problems benachrichtigen können. Sie könnten entscheiden, dass Sie sich das nicht leisten können oder nicht brauchen, und das ist in Ordnung ... berücksichtigen Sie es einfach.
  6. Verwenden Sie gegebenenfalls Werkzeuge wie Tripwire und Nessus - aber verwenden Sie sie nicht nur blind, weil ich es gesagt habe. Nehmen Sie sich Zeit, um zu lernen, wie Sie einige gute Sicherheitstools verwenden, die für Ihre Umgebung geeignet sind, halten Sie diese Tools auf dem neuesten Stand und verwenden Sie sie regelmäßig.
  7. Stellen Sie Sicherheitsexperten ein, um die Sicherheit Ihrer Website regelmäßig zu überprüfen. Auch hier könnten Sie entscheiden, dass Sie sich das nicht leisten können oder nicht brauchen, und das ist in Ordnung ... berücksichtigen Sie es einfach.

Welche Schritte können Sie unternehmen, um die Folgen eines erfolgreichen Angriffs zu verringern?

Wenn Sie der Meinung sind, dass das "Risiko" einer Überschwemmung im Untergeschoss Ihres Hauses hoch ist, aber nicht hoch genug, um einen Umzug zu rechtfertigen, sollten Sie zumindest die unersetzlichen Familienerbstücke nach oben verlegen. Recht?

  1. Können Sie die Anzahl der Dienste reduzieren, die direkt dem Internet ausgesetzt sind? Können Sie eine Lücke zwischen Ihren internen Diensten und Ihren mit dem Internet verbundenen Diensten aufrechterhalten? Dies stellt sicher, dass die Chancen, dies als Sprungbrett für Angriffe auf Ihre internen Systeme zu verwenden, begrenzt sind, selbst wenn Ihre externen Systeme gefährdet sind.
  2. Speichern Sie Informationen, die Sie nicht speichern müssen? Speichern Sie solche Informationen "online", wenn sie woanders archiviert werden könnten? Es gibt zwei Punkte zu diesem Teil; Das Offensichtliche ist, dass die Leute keine Informationen von Ihnen stehlen können, die Sie nicht haben, und der zweite Punkt ist, dass je weniger Sie speichern, desto weniger müssen Sie warten und codieren, und daher gibt es weniger Chancen, dass Fehler auftreten Ihr Code oder Systemdesign.
  3. Verwenden Sie für Ihre Web-App die Prinzipien des "geringsten Zugriffs"? Wenn Benutzer nur aus einer Datenbank lesen müssen, stellen Sie sicher, dass das Konto, mit dem die Webanwendung dies bedient, nur Lesezugriff hat, keinen Schreibzugriff und keinen Zugriff auf Systemebene zulässt.
  4. Wenn Sie mit etwas nicht sehr erfahren sind und es für Ihr Unternehmen nicht von zentraler Bedeutung ist, sollten Sie es auslagern. Mit anderen Worten, wenn Sie eine kleine Website betreiben, auf der über das Schreiben von Desktop-Anwendungscode gesprochen wird, und sich dazu entschließen, kleine Desktop-Anwendungen von der Website aus zu verkaufen, sollten Sie Ihr Kreditkartenbestellsystem an jemanden wie Paypal "auslagern".
  5. Wenn möglich, machen Sie das Üben der Wiederherstellung von gefährdeten Systemen zu einem Teil Ihres Notfallwiederherstellungsplans. Dies ist wohl nur ein weiteres "Katastrophenszenario", auf das Sie stoßen könnten, einfach eines mit seinen eigenen Problemen und Problemen, die sich von dem üblichen "Serverraum, der in Brand geraten ist" unterscheiden/in den riesige Server eingedrungen sind, die Furbies essen.

... und schließlich

Ich habe wahrscheinlich kein Ende von Dingen ausgelassen, die andere für wichtig halten, aber die obigen Schritte sollten Ihnen zumindest helfen, Dinge zu klären, wenn Sie das Pech haben, Hackern zum Opfer zu fallen.

Vor allem: Keine Panik. Denk nach bevor du handelst. Handeln Sie fest, sobald Sie eine Entscheidung getroffen haben, und hinterlassen Sie unten einen Kommentar, wenn Sie meiner Liste der Schritte etwas hinzufügen möchten.

1021
Rob Moir

Es hört sich so an, als ob Sie etwas über Ihrem Kopf sind. das ist ok. Rufen Sie Ihren Chef an und verhandeln Sie über ein Budget für Notfallmaßnahmen. 10.000 US-Dollar könnten ein guter Anfang sein. Dann müssen Sie jemanden (einen PJ, einen Mitarbeiter, einen Manager) dazu bringen, Unternehmen anzurufen, die sich auf die Reaktion auf Sicherheitsvorfälle spezialisiert haben. Viele können innerhalb von 24 Stunden antworten, manchmal sogar schneller, wenn sie ein Büro in Ihrer Stadt haben.

Sie brauchen auch jemanden, der Kunden ausfindig macht. Zweifellos ist es schon jemand. Jemand muss mit ihnen telefonieren, um zu erklären, was los ist, was getan wird, um mit der Situation umzugehen, und um ihre Fragen zu beantworten.

Dann müssen Sie ...

  1. Bleib ruhig. Wenn Sie für die Reaktion auf Vorfälle verantwortlich sind, müssen Sie jetzt ein Höchstmaß an Professionalität und Führung unter Beweis stellen. Dokumentieren Sie alles, was Sie tun, und halten Sie Ihren Manager und Ihr Führungsteam über wichtige Maßnahmen auf dem Laufenden. Dazu gehört die Zusammenarbeit mit einem Reaktionsteam, das Deaktivieren von Servern, das Sichern von Daten und das erneute Online-Schalten. Sie brauchen keine blutigen Details, aber sie sollten etwa alle 30 Minuten von Ihnen hören.

  2. Sei realistisch. Sie sind kein Sicherheitsexperte und es gibt Dinge, die Sie nicht wissen. Das ist ok. Wenn Sie sich bei Servern anmelden und Daten anzeigen, müssen Sie Ihre Grenzen kennen. Treten Sie vorsichtig. Stellen Sie im Verlauf Ihrer Untersuchung sicher, dass Sie nicht auf wichtige Informationen stampfen oder etwas ändern, das später möglicherweise benötigt wird. Wenn Sie sich unwohl fühlen oder vermuten, ist dies ein guter Ort, um anzuhalten und einen erfahrenen Fachmann zu beauftragen.

  3. Besorgen Sie sich einen sauberen USB-Stick und Ersatzfestplatten. Sie werden hier Beweise sammeln. Erstellen Sie Backups von allem, was Sie für relevant halten. Kommunikation mit Ihrem ISP, Netzwerk-Dumps usw. Auch wenn die Strafverfolgung nicht beteiligt ist, möchten Sie im Falle einer Klage, dass diese Beweise belegen, dass Ihr Unternehmen den Sicherheitsvorfall professionell und angemessen behandelt hat.

  4. Am wichtigsten ist es, den Verlust zu stoppen. Identifizieren und Sperren des Zugriffs auf gefährdete Dienste, Daten und Computer. Am besten ziehen Sie das Netzwerkkabel. Wenn Sie nicht können, ziehen Sie den Strom.

  5. Als nächstes müssen Sie den Angreifer entfernen und die Löcher schließen. Vermutlich hat der Angreifer keinen interaktiven Zugriff mehr, weil Sie das Netzwerk gezogen haben. Sie müssen jetzt den Code und die Prozesse, die er zurückgelassen hat, identifizieren, dokumentieren (mit Backups, Screenshots und Ihren eigenen persönlichen Beobachtungsnotizen oder vorzugsweise sogar durch Entfernen der Laufwerke von den betroffenen Servern und Erstellen einer vollständigen Image-Kopie) . Dieser nächste Teil ist zum Kotzen, wenn Sie keine Backups haben. Sie können versuchen, den Angreifer von Hand aus dem System zu entwirren, aber Sie werden nie sicher sein, dass Sie alles haben, was er zurückgelassen hat. Rootkits sind bösartig und nicht alle sind erkennbar. Die beste Antwort besteht darin, die Sicherheitsanfälligkeit zu identifizieren, in die er eingedrungen ist, Image-Kopien der betroffenen Festplatten zu erstellen, die betroffenen Systeme zu löschen und von einem bekanntermaßen guten Backup neu zu laden. Vertraue deinem Backup nicht blind; überprüfe es! Reparieren oder schließen Sie die Sicherheitsanfälligkeit, bevor der neue Host erneut in das Netzwerk aufgenommen wird, und schalten Sie ihn dann online.

  6. Organisieren Sie alle Ihre Daten in einem Bericht. Zu diesem Zeitpunkt ist die Sicherheitsanfälligkeit geschlossen und Sie haben etwas Zeit zum Atmen. Seien Sie nicht versucht, diesen Schritt zu überspringen. es ist noch wichtiger als der Rest des Prozesses. Im Bericht müssen Sie ermitteln, was schief gelaufen ist, wie Ihr Team reagiert hat und welche Schritte Sie unternehmen, um zu verhindern, dass dieser Vorfall erneut auftritt. Sei so detailliert wie du kannst; Dies ist nicht nur für Sie, sondern auch für Ihr Management und als Verteidigung in einem potenziellen Rechtsstreit.

Das ist eine himmelhohe Überprüfung dessen, was zu tun ist; Der größte Teil der Arbeit besteht lediglich aus Dokumentation und Sicherungshandhabung. Keine Panik, du kannst das Zeug machen. Ich stark empfehle Ihnen, professionelle Sicherheitshilfe zu bekommen. Selbst wenn Sie mit den Vorgängen umgehen können, ist ihre Hilfe von unschätzbarem Wert und sie werden normalerweise mit Geräten geliefert, um den Prozess einfacher und schneller zu gestalten. Wenn Ihr Chef auf Kosten zurückschreckt, erinnern Sie ihn daran, dass es im Vergleich zur Bearbeitung einer Klage sehr klein ist.

Sie haben meinen Trost für Ihre Situation. Viel Glück.

205
blueben

CERT hat ein Dokument Schritte zum Wiederherstellen von einem UNIX- oder NT-Systemkompromiss das gut ist. Die spezifischen technischen Details dieses Dokuments sind etwas veraltet, aber viele der allgemeinen Hinweise gelten immer noch direkt.

Dies ist eine kurze Zusammenfassung der grundlegenden Schritte.

  • Konsultieren Sie Ihre Sicherheitsrichtlinie oder Ihr Management.
  • Kontrolle erlangen (Computer offline schalten)
  • Analysieren Sie das Eindringen, holen Sie sich Protokolle und finden Sie heraus, was schief gelaufen ist
  • Sachen reparieren
    • Installieren Sie eine saubere Version Ihres Betriebssystems !!! Wenn das System kompromittiert wurde, können Sie ihm nicht vertrauen.
  • Aktualisieren Sie die Systeme, damit dies nicht noch einmal passieren kann
  • Operationen fortsetzen
  • Aktualisieren Sie Ihre Richtlinie für die Zukunft und dokumentieren Sie

Ich möchte Sie ausdrücklich auf Abschnitt E.1 verweisen.

E.1. Beachten Sie, dass bei einer Gefährdung eines Computers möglicherweise Änderungen an diesem System vorgenommen wurden, einschließlich Kernel, Binärdateien, Datendateien, laufenden Prozessen und Speicher. Im Allgemeinen besteht die einzige Möglichkeit, darauf zu vertrauen, dass eine Maschine frei von Hintertüren und Änderungen durch Eindringlinge ist, darin, den Betrieb neu zu installieren

Wenn Sie noch kein System wie Tripwire installiert haben, können Sie nicht zu 100% sicher sein, dass Sie das System bereinigt haben.

109
Zoredache
  1. Identifizieren das Problem. Lesen Sie die Protokolle.
  2. Enthalten. Sie haben den Server getrennt, das ist also erledigt.
  3. Ausrotten. Installieren Sie das betroffene System höchstwahrscheinlich neu. Löschen Sie jedoch nicht die Festplatte des gehackten, sondern verwenden Sie eine neue. Es ist sicherer, und Sie benötigen möglicherweise den alten, um hässliche Hacks wiederherzustellen, die nicht gesichert wurden, und um forensische Untersuchungen durchzuführen, um herauszufinden, was passiert ist.
  4. Wiederherstellen. Installieren Sie alles, was benötigt wird, und stellen Sie Backups wieder her, um Ihre Kunden online zu bringen.
  5. Follow-up. Finden Sie heraus, wo das Problem lag, und verhindern Sie, dass es erneut auftritt.
67
Jakob Borg

Roberts Antwort auf die "bittere Pille" ist genau richtig, aber völlig allgemein gehalten (genau wie Ihre Frage). Es hört sich so an, als hätten Sie ein Verwaltungsproblem und benötigen dringend einen Vollzeit-Systemadministrator, wenn Sie einen Server und 600 Clients haben, aber das hilft Ihnen jetzt nicht weiter.

Ich leite eine Hosting-Firma, die in dieser Situation ein wenig Handarbeit leistet. Daher beschäftige ich mich mit vielen kompromittierten Maschinen, aber auch mit Best Practices für unsere eigenen. Wir weisen unsere kompromittierten Kunden immer an, sie neu zu erstellen, es sei denn, sie sind sich der Art eines Kompromisses nicht absolut sicher. Langfristig gibt es keinen anderen verantwortlichen Weg.

Sie sind jedoch mit ziemlicher Sicherheit nur das Opfer eines Script-Kiddy, der eine Startrampe für DoS-Angriffe oder IRC Bouncer oder etwas völlig Unabhängiges mit den Websites und Daten Ihrer Kunden) haben wollte Während der Neuerstellung können Sie vorübergehend eine starke ausgehende Firewall auf Ihrer Box einrichten. Wenn Sie alle ausgehenden UDP- und TCP -Verbindungen blockieren können, die für das Funktionieren Ihrer Websites nicht unbedingt erforderlich sind) Sie können Ihre kompromittierte Box für jeden, der sie von Ihnen ausleiht, leicht unbrauchbar machen und die Auswirkungen auf das Netzwerk Ihres Anbieters auf Null reduzieren.

Dieser Vorgang kann einige Stunden dauern, wenn Sie ihn noch nicht ausgeführt haben und noch nie eine Firewall in Betracht gezogen haben. Er kann Ihnen jedoch dabei helfen, den Dienst Ihres Clients wiederherzustellen, wenn Sie dem Angreifer weiterhin Zugriff gewähren zu Ihren Kundendaten . Da Sie sagen, dass Sie Hunderte von Kunden auf einem Computer haben, schätze ich, dass Sie kleine Broschüren-Websites für kleine Unternehmen hosten und nicht 600 E-Commerce-Systeme voller Kreditkartennummern. Wenn dies der Fall ist, kann dies ein akzeptables Risiko für Sie sein und Ihr System schneller wieder online stellen, als 600 Websites auf Sicherheitslücken zu prüfen, bevor Sie etwas zurückbringen . Sie werden jedoch wissen, welche Daten vorhanden sind und wie bequem Sie diese Entscheidung treffen würden.

Dies ist absolut keine bewährte Methode, aber wenn dies bisher bei Ihrem Arbeitgeber nicht der Fall war, wedeln Sie mit dem Finger und fordern von einem SWAT-Team Zehntausende Pfund für etwas, von dem sie glauben, dass es Ihre Schuld ist (wie ungerechtfertigt auch immer!)! ) klingt nicht nach praktischer Option.

Die Hilfe Ihres Internetdienstanbieters wird hier von entscheidender Bedeutung sein - einige Internetdienstanbieter Bereitstellung eines Konsolenservers und einer Netzwerkstartumgebung (Stecker, aber zumindest wissen Sie, nach welcher Art von Einrichtung Sie suchen müssen), mit der Sie die ISP verwalten können Server, während er vom Netzwerk getrennt ist. Wenn dies überhaupt eine Option ist, fragen Sie danach und verwenden Sie es.

Langfristig sollten Sie jedoch einen Systemumbau planen, der auf Roberts Beitrag und einer Prüfung jedes Standorts und seiner Einrichtung basiert. Wenn Sie Ihrem Team keinen Systemadministrator hinzufügen können, suchen Sie nach einem Managed Hosting -Deal, bei dem Sie Ihren ISP für die Systemadministrationshilfe und die 24-Stunden-Antwort für diese Art von Dingen bezahlen. Viel Glück :)

52
Matthew Bloch

Sie müssen neu installieren. Speichern Sie, was Sie wirklich brauchen. Beachten Sie jedoch, dass alle Ihre ausführbaren Dateien möglicherweise infiziert und manipuliert sind. Ich habe Folgendes in Python geschrieben: http://frw.se/monty.py , das MD5-Summen aller Ihrer Dateien in einem bestimmten Verzeichnis erstellt und beim nächsten Ausführen überprüft, ob etwas vorhanden ist wurde geändert und gibt dann aus, welche Dateien sich geändert haben und was sich in den Dateien geändert hat.

Dies kann für Sie nützlich sein, um festzustellen, ob seltsame Dateien regelmäßig geändert werden.

Das einzige, was Sie jetzt tun sollten, ist, Ihren Computer aus dem Internet zu entfernen.

41
Filip Ekberg

HINWEIS: Dies ist keine Empfehlung. Mein spezifisches Incident Response Protokoll würde wahrscheinlich nicht gilt nicht unverändert für den Fall von Grant Unwin.

In unseren akademischen Einrichtungen haben wir ungefähr 300 Forscher, die nur rechnen. Sie haben 600 Clients mit Websites, sodass Ihr Protokoll wahrscheinlich anders sein wird.

Die ersten Schritte in unserem Wenn ein Server ein kompromittiertes Protokoll erhält sind:

  1. Stellen Sie fest, dass der Angreifer Root erhalten konnte (erhöhte Berechtigungen).
  2. Trennen Sie die betroffenen Server vom Computer. Netzwerk oder Strom? Bitte siehe eine separate Diskussion .
  3. Überprüfen Sie alle anderen Systeme
  4. Booten Sie die betroffenen Server von einer Live-CD
  5. (optional) Mit dd die Images aller Systemlaufwerke abrufen
  6. Beginnen Sie mit der Post-Mortem-Forensik. Sehen Sie sich Protokolle an, ermitteln Sie den Zeitpunkt des Angriffs und suchen Sie nach Dateien, die zu diesem Zeitpunkt geändert wurden. Versuchen Sie, die Frage Wie? zu beantworten.

    • Planen Sie parallel Ihre Wiederherstellung und führen Sie sie aus.
    • Setzen Sie alle Root- und Benutzerkennwörter zurück, bevor Sie den Dienst fortsetzen

Selbst wenn "alle Backdoors und Rootkits bereinigt werden", vertrauen Sie diesem System nicht - installieren Sie es von Grund auf neu.

37

Ich würde sagen, @Robert Moir, @Aleksandr Levchuk, @blueben und @Matthew Bloch sind in ihren Antworten ziemlich genau richtig.

Die Antworten der verschiedenen Poster sind jedoch unterschiedlich - einige sind eher auf hoher Ebene und sprechen darüber, welche Verfahren Sie (im Allgemeinen) anwenden sollten.

Ich würde es vorziehen, dies in mehrere separate Teile aufzuteilen. 1) Triage, AKA Wie man mit den Kunden und den rechtlichen Auswirkungen umgeht und wie man von dort aus vorgeht (sehr gut aufgeführt von Robert und @blueben 2) Abschwächung der Auswirkungen 3 ) Reaktion auf Vorfälle 4) Post-Mortem-Forensik 5) Korrekturmaßnahmen und Änderungen der Architektur

(Fügen Sie hier die SANS GSC-zertifizierte Antworterklärung ein) Aufgrund früherer Erfahrungen würde ich Folgendes sagen:

Unabhängig davon, wie Sie mit Kundenantworten, Benachrichtigungen, rechtlichen und zukünftigen Plänen umgehen, würde ich mich lieber auf das Hauptproblem konzentrieren. Die ursprüngliche Frage des OP bezieht sich wirklich nur direkt auf # 2 und # 3, im Grunde genommen, wie der Angriff gestoppt werden kann, um Kunden so schnell wie möglich wieder online zu bringen, was in den Antworten gut behandelt wurde.

Der Rest der Antworten ist großartig und deckt viele identifizierte Best Practices und Möglichkeiten ab, um zu verhindern, dass dies in Zukunft geschieht, und um besser darauf zu reagieren.

Es hängt wirklich vom Budget des OP ab und davon, in welchem ​​Industriesektor sie sich befinden, welche Lösung sie wünschen usw.

Möglicherweise müssen sie eine dedizierte SA vor Ort beauftragen. Vielleicht brauchen sie eine Sicherheitsperson. Oder sie benötigen eine vollständig verwaltete Lösung wie Firehost oder Rackspace Managed, Softlayer, ServePath usw.

Es hängt wirklich davon ab, was für ihr Geschäft funktioniert. Vielleicht liegt ihre Kernkompetenz nicht in der Serververwaltung, und es macht für sie keinen Sinn, zu versuchen, dies zu entwickeln. Oder vielleicht sind sie bereits eine ziemlich technische Organisation und können die richtigen Einstellungsentscheidungen treffen und ein engagiertes Team in Vollzeit zusammenstellen.

31
Zachary Hanna

Nach meiner begrenzten Erfahrung sind Systemkompromisse unter Linux in der Regel "umfassender" als unter Windows. Es ist viel wahrscheinlicher, dass die Root-Kits System-Binärdateien durch benutzerdefinierten Code ersetzen, um die Malware zu verbergen, und die Barriere für das Hot-Patching des Kernels ist etwas geringer. Außerdem ist es das Heimbetriebssystem für viele Malware-Autoren. Die allgemeine Anleitung besteht immer darin, den betroffenen Server von Grund auf neu zu erstellen, und sie ist aus einem bestimmten Grund die allgemeine Anleitung.

Formatieren Sie diesen Welpen.

Aber wenn Sie nicht wieder aufbauen können (oder die Mächte, die es sein werden, Sie es nicht wieder aufbauen lassen, wenn Sie darauf bestehen, dass es gebraucht wird), wonach suchen Sie dann?

Da es so aussieht, als ob es eine Weile her ist, dass das Eindringen entdeckt wurde und eine Systemwiederherstellung durchgeführt wurde, ist es sehr wahrscheinlich, dass die Spuren, wie sie hereingekommen sind, in der Stampede überstampft wurden, um den Dienst wiederherzustellen. Unglücklich.

Ungewöhnlicher Netzwerkverkehr ist wahrscheinlich am einfachsten zu finden, da dazu nichts auf der Box ausgeführt werden muss und ausgeführt werden kann, während der Server aktiv ist und alles tut. Vorausgesetzt natürlich, Ihre Netzwerkausrüstung ermöglicht das Überspannen von Ports. Was Sie finden, kann diagnostisch sein oder auch nicht, aber es handelt sich zumindest um Informationen. Ungewöhnlicher Datenverkehr ist ein starker Beweis dafür, dass das System immer noch kompromittiert ist und abgeflacht werden muss. Es könnte gut genug sein, TPTB davon zu überzeugen, dass eine Neuformatierung die Ausfallzeit wirklich wert ist.

Andernfalls nehmen Sie eine DD-Kopie Ihrer Systempartitionen und mounten Sie sie auf einer anderen Box. Beginnen Sie mit dem Vergleich von Inhalten mit einem Server auf derselben Patch-Ebene wie der gefährdete. Es soll Ihnen helfen, herauszufinden, was anders aussieht (diese MD5-Summen wieder) und möglicherweise auf übersehene Bereiche auf dem gefährdeten Server verweisen. Dies ist eine Menge Durchsuchen von Verzeichnissen und Binärdateien und wird ziemlich arbeitsintensiv sein. Es kann sogar arbeitsintensiver sein als eine Neuformatierung/Neuerstellung, und es kann eine andere Sache sein, TPTB über die tatsächliche Neuformatierung zu informieren, die es wirklich benötigt.

31
sysadmin1138

Nachdem wir uns an die Arbeit gemacht und uns den Server angesehen hatten, konnten wir das Problem herausfinden. Glücklicherweise wurden die fehlerhaften Dateien an einem Sonntag auf das System hochgeladen, wenn das Büro geschlossen ist und außer Protokollen und Cache-Dateien keine Dateien erstellt werden sollten. Mit einem einfachen Shell-Befehl können wir herausfinden, welche Dateien an diesem Tag erstellt wurden.

Alle fehlerhaften Dateien scheinen sich auf einigen unserer älteren Zencart-Sites im Ordner/images/befunden zu haben. Es scheint, dass es eine Sicherheitslücke gab, die es jedem Idioten (mithilfe von Curl) ermöglichte, Nicht-Bilder in den Bild-Upload-Bereich im Admin-Bereich hochzuladen. Wir haben die fehlerhaften .php-Dateien gelöscht und die Upload-Skripte korrigiert, um das Hochladen von Dateien, die keine Bilder sind, zu verhindern.

Rückblickend war es ganz einfach und ich habe diese Frage auf meinem iPhone auf dem Weg zur Arbeit aufgeworfen. Vielen Dank für all Ihre Hilfe Jungs.

Als Referenz für alle, die diesen Beitrag in Zukunft besuchen. Ich würde nicht empfehlen, den Netzstecker zu ziehen.

27
gunwin

Ich habe wenig zu den umfangreichen technischen Antworten beizutragen, aber bitte beachten Sie auch einige davon:

Nichttechnische Maßnahmen:

  • Den Vorfall intern melden.
    Wenn Sie noch keinen Plan zur Reaktion auf Vorfälle haben, der möglicherweise als CYA-Technik erscheint, aber die IT-Abteilung nicht der einzige und oft nicht einmal der beste Ort ist, um die geschäftlichen Auswirkungen zu bestimmen eines kompromittierten Servers.
    Geschäftsanforderungen können Ihre technischen Bedenken übertreffen. Sagen Sie nicht "Ich habe es Ihnen gesagt" und dass die Priorität geschäftlicher Bedenken der Grund ist, warum Sie diesen kompromittierten Server überhaupt haben. (" Lassen Sie das für den Nachbearbeitungsbericht. ")

  • Das Vertuschen eines Sicherheitsvorfalls ist keine Option.

  • Berichterstattung an die örtlichen Behörden.
    ServerFault ist NICHT der Ort für Rechtsberatung, aber dies sollte in einen Plan zur Reaktion auf Vorfälle aufgenommen werden.
    In einigen Orten und/oder regulierten Branchen ist es obligatorisch, (bestimmte) Sicherheitsvorfälle entweder den örtlichen Strafverfolgungs- und Regulierungsbehörden zu melden oder betroffene Kunden/Benutzer zu informieren.
    Unabhängig davon werden weder die Entscheidung zur Berichterstattung noch der tatsächliche Bericht ausschließlich in der IT-Abteilung getroffen. Erwarten Sie eine Beteiligung des Managements sowie der Abteilungen für Rechts- und Unternehmenskommunikation (Marketing).
    Sie sollten wahrscheinlich nicht zu viel erwarten, das Internet ist ein großer Ort, an dem Grenzen wenig Bedeutung haben, aber die Abteilungen für Cyberkriminalität, die in vielen Polizeidienststellen existieren, lösen digitale Verbrechen und können die Schuldigen vor Gericht stellen.

18
HBruijn

Ich denke, es läuft alles darauf hinaus:

Wenn Sie Ihren Job schätzen, sollten Sie einen Plan haben und ihn regelmäßig überarbeiten.

Wenn Sie nicht planen, ist ein Fehlschlagen geplant, und es ist nirgendwo anders als in der Systemsicherheit wahrer. Wenn <redacted> den Fan trifft, sollten Sie besser bereit sein, sich damit zu befassen.

Hier gilt ein anderes (etwas klischeehaftes) Sprichwort: Vorbeugen ist besser als heilen .

Hier gab es eine Reihe von Empfehlungen, um Experten für die Prüfung Ihrer vorhandenen Systeme zu gewinnen. Ich denke, das stellt die Frage zur falschen Zeit. Diese Frage sollte gestellt worden sein, als das System eingerichtet und die Antworten dokumentiert wurden. Außerdem sollte die Frage nicht lauten: "Wie können wir verhindern, dass Menschen einbrechen?" Es sollte lauten: "Warum sollten Menschen überhaupt einbrechen können?" Die Prüfung auf eine Reihe von Lücken in Ihrem Netzwerk funktioniert nur, bis neue Lücken gefunden und ausgenutzt werden. Andererseits profitieren Netzwerke, die von Grund auf so konzipiert sind, dass sie in einem sorgfältig choreografierten Tanz nur auf bestimmte Weise auf bestimmte Systeme reagieren, überhaupt nicht von einer Prüfung, und die Mittel sind eine Verschwendung.

Fragen Sie sich, bevor Sie ein System ins Internet stellen - muss dies zu 100% mit dem Internet verbunden sein? Wenn nicht, nicht. Stellen Sie es hinter eine Firewall, in der Sie entscheiden können, was das Internet sieht. Noch besser, wenn Sie mit dieser Firewall die Übertragungen abfangen können (über einen Reverse-Proxy oder einen Pass-Through-Filter), sollten Sie sie verwenden, um nur legitime Aktionen zuzulassen.

Dies wurde getan - es gibt (oder gab) irgendwo ein Internet-Banking-Setup, das einen Load-Balancing-Proxy für das Internet hat, mit dem sie Angriffe von ihrem Serverpool fernhalten wollten. Der Sicherheitsexperte Marcus Ranum überzeugte sie, den umgekehrten Ansatz zu wählen, indem er mithilfe des Reverse-Proxys nur bekannte gültige URLs durchlässt und alles andere an einen 404-Server sendet . Es hat den Test der Zeit überraschend gut bestanden.

Ein System oder Netzwerk, das auf der Standardgenehmigung basiert, ist zum Scheitern verurteilt, sobald ein Angriff erfolgt, den Sie nicht vorhergesehen haben. Die Standardverweigerung gibt Ihnen eine weitaus größere Kontrolle darüber, was hineinkommt und was nicht, da Sie nichts von innen von außen sehen lassen , es sei denn, es muss verdammt gut sein .

Das alles ist jedoch kein Grund, selbstgefällig zu werden. Sie sollten in den ersten Stunden nach einem Verstoß noch einen Plan haben. Kein System ist perfekt und Menschen machen Fehler.

16
Aaron Mason

Ein netter Onliner hat mir kürzlich geholfen herauszufinden, wie ein Angreifer ein System gefährden kann. Einige Cracker versuchen, ihre Spuren zu verbergen, indem sie die Änderungszeit für Dateien fälschen. Durch Ändern der Änderungszeit wird die Änderungszeit aktualisiert (ctime). Sie können die Uhrzeit mit stat sehen.

Dieser eine Liner listet alle Dateien auf, sortiert nach ctime:

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

Wenn Sie also den Zeitpunkt des Kompromisses ungefähr kennen, können Sie sehen, welche Dateien geändert oder erstellt werden.


15
ah83