Jak radzić sobie z zagrożonym serwerem?

to

Pytanie kanoniczne
http://meta.serverfault.com/questions/1986
o bezpieczeństwie serwerów - reagowanie na zdarzenia hakerskie (hacking)

Zobacz też:

Wersja kanoniczna
Podejrzewam, że co najmniej jeden z moich serwerów został przejęty przez hakera, wirusa lub inny mechanizm:
  • Jakie mam pierwsze kroki Czy muszę wyłączać serwer po przybyciu na miejsce, zapisywać „dowody”, czy są jakieś inne wstępne uwagi
  • Jak przywrócić usługi online
  • Jak mogę zapobiec powtórzeniu się tego samego od razu
  • Czy są jakieś najlepsze praktyki lub techniki uczenia się na podstawie tego incydentu
  • Gdybym chciał stworzyć plan reagowania na incydenty, od czego powinienem zacząć Czy powinno to być częścią mojego planu odtwarzania po awarii lub planu ciągłości biznesowej


Orginalna wersja

2011.01.02

- Idę do pracy o 21.30. w niedzielę, ponieważ nasz serwer został w jakiś sposób przejęty

DOS
http://en.wikipedia.org/wiki/D ... ttack
atak na naszego dostawcę. Serwery dostępu do Internetu zostały wyłączone, co oznacza, że ​​ponad 5-600 witryn naszych klientów nie działa. Teraz może to być włamanie do FTP lub jakaś słabość w kodzie. Nie jestem pewien, dopóki tam nie dotrę.
Jak mogę to szybko śledzić? Jeśli nie otrzymam kopii zapasowej serwera tak szybko, jak to możliwe, będzie wiele spraw sądowych. Każda pomoc jest mile widziana. Używamy Open SUSE 11.0.

2011.01.03

- Dziękuję wszystkim za pomoc. Na szczęście NIE JESTEM jedynym odpowiedzialnym za ten serwer, tylko ten najbliżej niego. Udało nam się rozwiązać ten problem, chociaż może nie dotyczyć wielu innych w innej sytuacji. Opowiem szczegółowo, co zrobiliśmy.
Odłączyliśmy serwer od sieci. Przeprowadził (próbował przeprowadzić) atak typu „odmowa usługi” na inny serwer w Indonezji, a winny również tam był.
Najpierw próbowaliśmy ustalić, skąd się to bierze, biorąc pod uwagę, że mamy ponad 500 witryn na serwerze i spodziewaliśmy się, że przez jakiś czas będziemy pracować. Jednak nadal mając dostęp do SSH, uruchomiliśmy polecenie, aby znaleźć wszystkie pliki edytowane lub utworzone podczas ataku. Na szczęście szkodliwy plik powstał podczas ferii zimowych, co spowodowało, że na serwerze powstało wówczas niewiele innych plików.
Byliśmy wtedy w stanie zidentyfikować naruszający plik, który znajdował się w folderze pobranych obrazów w folderze

ZenCart
http://en.wikipedia.org/wiki/Zen_Cart
Stronie internetowej.
Po krótkiej przerwie na papierosy doszliśmy do wniosku, że ze względu na lokalizację plików muszą one zostać pobrane za pośrednictwem narzędzia do przesyłania plików, które nie zostało odpowiednio zabezpieczone. Po pewnym googlowaniu odkryliśmy lukę w zabezpieczeniach, która umożliwiała przesyłanie plików do panelu administracyjnego ZenCart w celu zrobienia zdjęcia dla wytwórni płytowej. (Sekcja, z której nigdy nawet nie korzystał), wysyłając ten formularz, po prostu załadował dowolny plik, nie sprawdzał rozszerzenia pliku, ani nawet nie sprawdzał, czy użytkownik jest zalogowany.
Oznaczało to, że można przesłać dowolny plik, w tym plik PHP do ataku. Zabezpiecziliśmy lukę za pomocą ZenCart na zainfekowanej stronie i usunęliśmy szkodliwe pliki.
Praca została wykonana i byłem w domu o 2 nad ranem.

Moralność

- Zawsze stosuj łaty bezpieczeństwa dla ZenCart lub innego CMS w tym zakresie. Podobnie jak w przypadku wydania aktualizacji zabezpieczeń, cały świat jest świadomy luki w zabezpieczeniach. - Zawsze rób kopie zapasowe i kopie zapasowe kopii zapasowych. - Zatrudnij lub zatrudnij kogoś, kto będzie tam w takich momentach. Aby nikt nie polegał na poście paniki dotyczącym awarii serwera.

Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Trudno jest udzielić konkretnych porad na podstawie tego, co tu zamieściłeś, ale mam kilka ogólnych porad opartych na poście, który napisałem wiele lat temu, kiedy nadal mogłem zawracać sobie głowę blogowaniem.

[b]
Nie panikować

[/b]>Po pierwsze, nie ma innych „szybkich rozwiązań” niż przywrócenie systemu z kopii zapasowej sprzed inwazji, a to wiąże się z co najmniej dwoma problemami.

  • Trudno jest określić, kiedy nastąpiła inwazja.
  • Nie pomoże ci zamknąć „dziury”, która pozwoliła im się ostatnio włamać, ani nie poradzi sobie z konsekwencjami jakiejkolwiek „kradzieży danych”, która również mogła mieć miejsce.

To pytanie jest stale zadawane przez ofiary ataków hakerów na ich serwer WWW. Odpowiedzi rzadko się zmieniają, ale ludzie wciąż zadają pytania. Nie wiem dlaczego. Może ludziom po prostu nie podobają się odpowiedzi, które widzieli, szukając pomocy, lub nie mogą znaleźć kogoś, komu ufają, i udzieli im porady. A może ludzie czytają odpowiedź na to pytanie i zbytnio koncentrują się na 5%, dlaczego ich przypadek jest wyjątkowy i różni się od odpowiedzi, które mogą znaleźć w Internecie, i pomijają 95% pytań i odpowiedzi, gdy ich sprawa jest wystarczająco bliska, np. to, co czytają w Internecie.
To prowadzi mnie do pierwszej ważnej informacji. Naprawdę doceniam to, że jesteś wyjątkowym, niepowtarzalnym płatkiem śniegu. Doceniam, że Twoja strona internetowa jest również odzwierciedleniem Ciebie i Twojej firmy, a przynajmniej Twojej ciężkiej pracy w imieniu pracodawcy. Ale dla kogoś z zewnątrz, czy to specjalisty ds. Bezpieczeństwa komputerowego badającego problem, aby spróbować pomóc, czy nawet samego atakującego, jest wysoce prawdopodobne, że Twój problem będzie co najmniej w 95% identyczny z każdym innym przypadkiem, który ma. kiedykolwiek spojrzał.
Nie odbieraj ataku osobiście i nie przyjmuj osobiście poniższych zaleceń lub zaleceń innych osób. Jeśli czytasz to po tym, jak padłeś ofiarą włamania do witryny, przepraszam i naprawdę mam nadzieję, że znajdziesz tutaj coś przydatnego, ale teraz nie jest czas, aby pozwolić swojemu ego przeszkodzić temu, czego potrzebujesz. robić.

Właśnie dowiedziałeś się, że Twój serwer (y) został zhakowany. Co teraz?

Nie panikować. Nie działaj w pośpiechu, nie próbuj udawać, że nic się nie stało i nie działaj w ogóle.
Po pierwsze: zrozumieć, że katastrofa już się wydarzyła. Teraz nie czas na zaprzeczenie; Nadszedł czas, aby zaakceptować to, co stało się realistami w tym zakresie i podejmuje kroki w celu zarządzania skutkami wpływu.
Niektóre z tych kroków mogą być szkodliwe i (chyba że Twoja witryna zawiera kopię moich danych) naprawdę nie obchodzi mnie, czy zignorujesz niektóre lub wszystkie z nich, to zależy od Ciebie. Jednak właściwe przestrzeganie ich ostatecznie poprawi sytuację. Lekarstwo może smakować okropnie, ale czasami musisz go zignorować, jeśli naprawdę chcesz, aby lek działał.
Zapobiegaj pogorszeniu się problemu niż jest teraz:
  • Pierwszą rzeczą, którą musisz zrobić, jest odłączenie systemów, których dotyczy problem, od Internetu. Niezależnie od innych problemów pozostawienie systemu podłączonego do Internetu pozwoli jedynie na kontynuowanie ataku. Mam na myśli to dosłownie; poproś kogoś o fizyczną wizytę na serwerze i odłączenie kabli sieciowych, jeśli to konieczne, ale odłącz ofiarę od włamywaczy, zanim spróbujesz cokolwiek innego.
  • Zmień wszystkie swoje hasła do wszystkich kont na wszystkich komputerach, które są w tej samej sieci, co zainfekowane systemy. Nie naprawdę. Wszystkie konta. Wszystkie komputery. Tak, masz rację, to może być przesada; z drugiej strony, może nie. W każdym razie nie wiesz, prawda
  • Sprawdź inne systemy. Zwróć szczególną uwagę na inne usługi połączone z Internetem, a także te, które przechowują dane finansowe lub inne dane biznesowe.
  • Jeżeli w systemie przechowywane są czyjeś dane osobowe, niezwłocznie poinformuj o tym osobę odpowiedzialną za ochronę danych (jeśli to nie Ty) i DOSTARCZAMY do ujawnienia pełnych informacji. Wiem, że to trudne. Wiem, że to będzie bolało. Wiem, że wiele firm chce ukryć ten problem, ale biznes będzie musiał sobie z tym poradzić - i należy to zrobić zgodnie ze wszystkimi obowiązującymi przepisami dotyczącymi prywatności.

Tak samo jak zirytowani są Twoi klienci, jeśli powiesz im o problemie, będą znacznie bardziej zirytowani, jeśli im nie powiesz, a dowiedzą się dopiero po tym, jak ktoś odpisze towary o wartości 8000 USD przy użyciu danych karty kredytowej. które ukradli z Twojej witryny.
Pamiętasz, co powiedziałem wcześniej? Zło już się wydarzyło. Pytanie tylko, jak dobrze to robisz.

Aby w pełni zrozumieć problem:

  • NIE wprowadzaj systemów, których dotyczy problem, z powrotem do trybu online, dopóki ten etap nie zostanie w pełni zakończony, chyba że chcesz być osobą, której stanowisko było dla mnie punktem zwrotnym, kiedy zdecydowałem się napisać ten artykuł. Nie zamierzam tworzyć linków do tego postu, żeby ludzie mogli się tanio pośmiać, ale prawdziwa tragedia polega na tym, że ludzie nie uczą się na swoich błędach.
  • Zbadaj „zaatakowane” systemy, aby zrozumieć, w jaki sposób ataki mogą naruszyć Twoje bezpieczeństwo. Zrób wszystko, co w Twojej mocy, aby dowiedzieć się, skąd wzięły się ataki, aby zrozumieć, jakie masz problemy i które należy rozwiązać, aby zapewnić bezpieczeństwo systemu w przyszłości.
  • Ponownie sprawdź „zaatakowane” systemy, tym razem, aby zrozumieć, dokąd poszły ataki, aby zrozumieć, które systemy zostały przejęte przez atak. Upewnij się, że śledzisz wszystkie wskazówki, które sugerują, że zainfekowane systemy mogą służyć jako trampolina do dalszych ataków na twoje systemy.
  • Upewnij się, że „bramy” używane we wszystkich atakach są w pełni zrozumiałe, aby można było je poprawnie uruchomić. (na przykład, jeśli twoje systemy zostały naruszone w wyniku ataku SQL injection, musisz nie tylko zamknąć konkretną nieprawidłową linię kodu, który zhakowali, ale także sprawdzić cały kod, aby zobaczyć, czy błędy tego samego typu nie zostały popełnione w innym miejscu).
  • Zrozum, że ataki mogą zakończyć się sukcesem z powodu kilku wad. Często ataki kończą się powodzeniem nie przez wykrycie jednego poważnego błędu w systemie, ale przez połączenie kilku problemów (czasem drobnych i błahych) w celu naruszenia bezpieczeństwa systemu. Na przykład wykorzystanie ataków SQL injection do wysyłania poleceń do serwera bazy danych, wykrycie zaatakowanej witryny/aplikacji działającej w kontekście użytkownika z uprawnieniami administratora i wykorzystanie praw tego konta jako odskoczni do włamania się do innych części systemu. Lub, jak lubią to nazywać hakerzy: „kolejny dzień w biurze wykorzystujący typowe błędy popełniane przez ludzi”.


Dlaczego po prostu nie „naprawić” znalezionego exploita lub rootkita i ponownie podłączyć system?

W takich sytuacjach problem polega na tym, że nie kontrolujesz już tego systemu. To już nie jest twój komputer.
To jedyny sposób

pewny

że masz kontrolę nad systemem, oznacza odbudowę systemu. Wykrywanie i naprawianie exploita używanego do włamania się do systemu jest ważne, ale nie można być pewnym, co jeszcze zostało zrobione w systemie po przejęciu kontroli przez osoby atakujące (w rzeczywistości nie jest to niczym niezwykłym w przypadku hakerów, którzy rekrutują systemy do botnetu w celu naprawienia exploitów, które używali samych siebie, aby chronić „swój” nowy komputer przed innymi hakerami i instalować swoje rootkity).

Przygotuj plan odzyskania i umieszczenia witryny w trybie online i trzymaj się go:

Nikt nie chce pozostać offline dłużej niż to konieczne. To jest oczywiste. Jeśli ta strona internetowa jest narzędziem generującym przychody, presja, aby szybko przywrócić ją online, będzie silna. Nawet jeśli jedyną rzeczą, o którą toczy się gra, jest reputacja Twojej/Twojej firmy, nadal będzie to powodować dużą presję, aby szybko odbudować sytuację.
Nie ulegaj jednak pokusie, aby wrócić do trybu online zbyt szybko. Zamiast tego działaj tak szybko, jak to możliwe, aby zrozumieć, co spowodowało problem, i napraw go przed ponownym połączeniem się z siecią, w przeciwnym razie prawie na pewno ponownie padniesz ofiarą włamania i pamiętaj, że „jednorazowe zhakowanie można uznać za nieszczęście; natychmiastowe zhakowanie wygląda na zaniedbanie ”(z przeprosinami dla Oscara Wilde'a).
  • Zakładam, że zrozumiałeś wszystkie kwestie, które doprowadziły do ​​udanej inwazji, w pierwszej kolejności jeszcze przed rozpoczęciem tej sekcji. Nie chcę przesadzać, ale jeśli nie, to naprawdę musisz. Przepraszam.
  • Nigdy nie płać pieniędzy za szantaż/ochronę. Jest to oznaka łatwej oceny i nie chcesz, aby ta fraza była kiedykolwiek używana w Twoim opisie.
  • Oprzyj się pokusie ponownego podłączenia tych samych serwerów bez całkowitej przebudowy. Zbudowanie nowego pudełka lub „uruchomienie serwera z orbity i wykonanie czystej instalacji” na starym sprzęcie powinno być znacznie szybsze niż sprawdzanie każdego rogu starego systemu, aby upewnić się, że jest czysty przed ponownym udostępnieniem go online. Jeśli się z tym nie zgadzasz, prawdopodobnie nie wiesz, co tak naprawdę oznacza upewnienie się, że system został całkowicie wyczyszczony lub procedury wdrażania Twojej witryny są strasznym bałaganem. Prawdopodobnie masz kopie zapasowe i wdrożenia testowe swojej witryny, których możesz po prostu użyć do utworzenia działającej witryny, a jeśli nie, to hakowanie nie jest największym problemem.
  • Zachowaj szczególną ostrożność podczas ponownego wykorzystywania danych, które były „aktywne” w systemie w momencie naruszenia. Nie mówię „nigdy tego nie rób”, ponieważ po prostu mnie zignorujesz, ale szczerze mówiąc, myślę, że musisz wziąć pod uwagę konsekwencje przechowywania danych, gdy wiesz, że nie możesz zagwarantować ich integralności. Najlepiej byłoby to przywrócić z kopii zapasowej sprzed inwazji. Jeśli nie możesz lub nie chcesz tego zrobić, powinieneś bardzo uważać na te dane, ponieważ są uszkodzone. Powinieneś być szczególnie świadomy konsekwencji dla innych, jeśli te dane należą do klientów lub odwiedzających witrynę, a nie bezpośrednio do Ciebie.
  • Uważnie obserwuj system (y). Powinieneś zdecydować się na to jako ciągły proces w przyszłości (więcej szczegółów poniżej), ale dokładasz dodatkowych starań, aby zachować czujność w okresie bezpośrednio po ponownym uruchomieniu witryny. Atakujący prawie na pewno wrócą, a jeśli zauważysz, że próbują ponownie zaatakować, z pewnością szybko zobaczysz, czy rzeczywiście zamknąłeś wszystkie dziury, których używali wcześniej, plus te, które zrobili dla siebie, i możesz zebrać przydatne informacje. które możesz skierować do lokalnych organów ścigania.


Mniejsze ryzyko w przyszłości.

Pierwszą rzeczą, którą musisz zrozumieć, jest to, że bezpieczeństwo to proces, który musisz zastosować przez cały cykl projektowania, wdrażania i konserwacji systemu połączonego z Internetem, a nie coś, co można następnie umieścić w swoim kodzie. Jak malować tanio. Aby usługa i aplikacja były odpowiednio zabezpieczone, muszą być projektowane od samego początku, mając to na uwadze jako jeden z głównych celów projektu. Rozumiem, że to jest nudne i słyszałeś już to wszystko wcześniej, i że „po prostu nie zdaję sobie sprawy, kto jest pod presją”, aby przetłumaczyć wersję beta Web 2.0 (beta) na wersję beta w Internecie, ale fakt polega na tym, że to się powtarza, ponieważ było to prawdą za pierwszym razem i jeszcze nie stało się kłamstwem.
Nie możesz wyeliminować ryzyka. Nie powinieneś nawet próbować tego robić. Powinieneś jednak zrozumieć, jakie zagrożenia bezpieczeństwa są dla Ciebie ważne i zrozumieć, jak zarządzać i łagodzić zarówno wpływ ryzyka, jak i prawdopodobieństwo jego wystąpienia.

Jakie kroki możesz podjąć, aby zmniejszyć prawdopodobieństwo sukcesu ataku?

Na przykład:
  • Czy była usterka, która umożliwiała ludziom włamanie się do Twojej witryny, znany błąd w kodzie dostawcy, dla którego dostępna była łatka Jeśli tak, czy musisz przemyśleć swoje podejście do łatania aplikacji na serwerach podłączonych do Internetu
  • Czy była usterka, która umożliwiała ludziom włamanie się do Twojej witryny, nieznany błąd w kodzie dostawcy, dla którego nie było dostępnych poprawek Zdecydowanie nie polecam zmiany dostawców, gdy coś takiego Cię gryzie, ponieważ każdy ma własne problemy i zabraknie Ci platform w ciągu maksymalnie roku, jeśli podejmiesz takie podejście. Jeśli jednak system nadal Cię zawodzi, powinieneś albo zaktualizować go do czegoś bardziej niezawodnego, albo przynajmniej przebudować system, aby wrażliwe elementy pozostały owinięte watą i jak najdalej od wrogich oczu.
  • Czy błąd był błędem w kodzie, który opracowałeś (lub pracujący dla Ciebie wykonawca) Jeśli tak, czy musisz przemyśleć swoje podejście do zatwierdzania kodu do wdrożenia w aktywnej witrynie Czy błąd można wykryć za pomocą ulepszonego systemu testowego lub zmian w „standardzie” kodowania (na przykład, chociaż technologia nie jest panaceum, można zmniejszyć prawdopodobieństwo udanego ataku polegającego na wstrzyknięciu kodu SQL, korzystając z dobrze udokumentowanych technik kodowania) .
  • Czy usterka była wynikiem problemu z wdrożeniem serwera lub oprogramowania Jeśli tak, czy używasz zautomatyzowanych procedur do tworzenia i wdrażania serwerów tam, gdzie to możliwe Jest to bardzo pomocne w utrzymaniu spójnego stanu „linii bazowej” na wszystkich serwerach, minimalizując ilość niestandardowej pracy, którą trzeba wykonać na każdym z nich, a zatem miejmy nadzieję, minimalizując możliwość wystąpienia błędu. To samo dotyczy wdrażania kodu - jeśli musisz zrobić coś „specjalnego”, aby wdrożyć najnowszą wersję swojej aplikacji internetowej, spróbuj zautomatyzować to i upewnij się, że zawsze działa konsekwentnie.
  • Czy włamanie można było wykryć wcześniej dzięki ulepszonemu monitorowaniu systemów Oczywiście, 24-godzinny monitoring lub system „na wezwanie” dla Twoich pracowników mogą być nieefektywne pod względem kosztów, ale są firmy, które mogą monitorować Twoje usługi sieciowe i ostrzegać, jeśli wystąpi problem. Możesz zdecydować, że cię na to nie stać lub nie potrzebujesz, i to jest w porządku ... po prostu weź to pod uwagę.
  • W razie potrzeby używaj narzędzi takich jak tripwire i nessus, ale nie używaj ich na ślepo, ponieważ tak powiedziałem. Poświęć trochę czasu na nauczenie się korzystania z kilku dobrych narzędzi bezpieczeństwa, które są odpowiednie dla Twojego środowiska, aktualizuj te narzędzia i używaj ich regularnie.
  • Rozważ zatrudnienie eksperta ds. Bezpieczeństwa, który będzie regularnie „audytował” bezpieczeństwo Twojej witryny. Ponownie, możesz zdecydować, że nie możesz sobie na to pozwolić lub nie potrzebujesz, i to jest w porządku ... po prostu weź to pod uwagę.


Jakie kroki możesz podjąć, aby złagodzić skutki udanego ataku?

Jeśli zdecydujesz, że „ryzyko” zalania twojego dolnego piętra jest wysokie, ale niewystarczające, aby uzasadnić przeprowadzkę, powinieneś przynajmniej przenieść swoje niezastąpione pamiątki na górę. Prawidłowo?
  • Czy możesz zmniejszyć liczbę usług dostępnych bezpośrednio w Internecie Czy możesz zachować jakąś lukę między usługami wewnętrznymi a usługami podłączonymi do Internetu Gwarantuje to, że nawet jeśli Twoje systemy zewnętrzne są zagrożone, szanse wykorzystania go jako odskoczni do ataku na systemy wewnętrzne są ograniczone.
  • Czy przechowujesz informacje, których nie musisz przechowywać Czy przechowujesz takie informacje „online”, jeśli mogłyby zostać zarchiwizowane w innym miejscu. W tej części są dwa punkty; Oczywiste jest, że ludzie nie mogą kraść od Ciebie informacji, których nie masz, a po drugie, im mniej przechowujesz, tym mniej potrzebujesz do konserwacji i kodowania, a tym samym mniejsze prawdopodobieństwo, że błędy wślizgną się do Twojego kodu lub projektu systemu.
  • Czy korzystasz z zasady najmniejszego dostępu do swojej aplikacji internetowej Jeśli użytkownicy muszą tylko czytać z bazy danych, upewnij się, że konto, z którego korzysta aplikacja internetowa, ma dostęp tylko do odczytu, nie zezwalaj na dostęp do niego w trybie zapisu i oczywiście nie na dostęp do całego systemu.
  • Jeśli nie masz w czymś dużego doświadczenia i nie ma to znaczenia dla Twojej firmy, rozważ outsourcing. Innymi słowy, jeśli prowadzisz małą witrynę internetową, która uczy Cię o kodowaniu aplikacji komputerowej i zdecydujesz się rozpocząć sprzedaż małych aplikacji komputerowych z tej witryny, rozważ outsourcing systemu zamawiania kart kredytowych do kogoś takiego jak Paypal.
  • O ile to możliwe, należy uwzględniać praktyczne odzyskiwanie danych z systemów, które zostały naruszone, w planie odzyskiwania po awarii. To być może kolejny "scenariusz katastrofy", z którym możesz się spotkać, po prostu scenariusz z własnym zestawem problemów i problemów różniący się od zwykłego "pożaru serwerowni"/"został przejęty przez gigantyczne serwery pożerające furbies".

... i w końcu

Prawdopodobnie nie przeoczyłem tego, co inni uważają za ważne, ale powyższe kroki powinny przynajmniej pomóc ci w rozpoczęciu zastanawiania się, jeśli masz nieszczęście paść ofiarą hakerów.
Po pierwsze: nie panikuj. Pomyśl, zanim to zrobisz. Po podjęciu decyzji działaj stanowczo i zostaw komentarz poniżej, jeśli masz coś do dodania do mojej listy kroków.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Wydają się być lekko nad głową; wszystko w porządku. Zadzwoń do swojego szefa i zacznij negocjować budżet na reagowanie kryzysowe. 10000 $ może być dobrym początkiem. Następnie musisz znaleźć kogoś (PFY, współpracownika, menedżera), aby zacząć dzwonić do firm specjalizujących się w reagowaniu na incydenty bezpieczeństwa. Wielu może odpowiedzieć w ciągu 24 godzin, a czasem nawet szybciej, jeśli mają biuro w Twoim mieście.
Potrzebujesz również kogoś do sortowania klientów; Na pewno ktoś już jest. Ktoś powinien z nimi rozmawiać przez telefon, aby wyjaśnić, co się dzieje, co jest robione, aby rozwiązać sytuację, i odpowiedzieć na ich pytania.
W takim razie potrzebujesz ...
  • Uspokój się. Jeśli odpowiadasz za reagowanie na incydenty, to, co robisz teraz, musi wykazać się najwyższym profesjonalizmem i przywództwem. Dokumentuj wszystko, co robisz i informuj swojego kierownika i zespół wykonawczy o głównych działaniach, które podejmujesz; obejmuje to pracę z zespołem reagującym, wyłączanie serwerów, tworzenie kopii zapasowych danych i ponowne łączenie się z siecią. Nie chcą krwawych szczegółów, ale będą otrzymywać od ciebie wiadomości co około 30 minut.
  • Bądź realistą. Nie jesteś specjalistą od bezpieczeństwa i są rzeczy, o których nie wiesz. W porządku. Logując się do serwerów i przeglądając dane, musisz zrozumieć swoje ograniczenia. Postępuj ostrożnie. Podczas badania uważaj, aby nie przesadzić z ważnymi informacjami ani nie zmienić tego, czego możesz potrzebować później. Jeśli czujesz się nieswojo lub zgadujesz, jest to dobre miejsce, aby zatrzymać się i poprosić doświadczonego profesjonalistę o przejęcie.
  • Weź pustą pamięć USB i zapasowe dyski twarde. Tutaj zbierasz dowody. Twórz kopie zapasowe wszystkiego, co uważasz za istotne; komunikacja z usługodawcą internetowym, zrzuty sieciowe itp. Nawet jeśli organy ścigania nie interweniują, w przypadku sprawy sądowej będziesz potrzebować tych dowodów, aby udowodnić, że Twoja firma poradziła sobie z incydentem związanym z bezpieczeństwem w profesjonalny i właściwy sposób.
  • Najważniejszą rzeczą jest stop loss. Identyfikowanie i blokowanie dostępu do zagrożonych usług, danych i maszyn. Zaleca się wyciągnięcie kabla sieciowego; jeśli nie możesz, wyciągnij moc.
  • Następnie musisz usunąć intruza i zamknąć otwór/otwory. Przypuszczalnie osoba atakująca nie ma już interaktywnego dostępu, ponieważ połączyłeś się z siecią. Teraz musisz zidentyfikować, udokumentować (z kopiami zapasowymi, zrzutami ekranu i osobistymi notatkami obserwacyjnymi; lub, najlepiej, nawet usunąć dyski z serwerów, których dotyczy problem, i wykonać pełną kopię obrazu dysku), a następnie usunąć dowolny kod i przetwarza go . ... Następna część będzie do niczego, jeśli nie masz kopii zapasowych; Możesz spróbować ręcznie rozplątać intruza z systemu, ale nigdy nie możesz być pewien, że masz wszystko, co zostawił. Rootkity są wadliwe i nie wszystkie z nich można wykryć. Najlepszą odpowiedzią byłoby zidentyfikowanie luki, której użył do infiltracji, utworzenie kopii obrazów dysków, których dotyczy luka, a następnie wyczyszczenie systemów, których dotyczy luka, i ponowne uruchomienie ze znanej dobrej kopii zapasowej. Nie ufaj ślepo swojej kopii zapasowej; Sprawdź to! Wyeliminuj lub zamknij lukę, zanim nowy host wróci do trybu online, a następnie umieść go w trybie online.
  • Zorganizuj wszystkie swoje dane w raporcie. Na tym etapie luka jest zamknięta i masz czas na odpoczynek. Nie ulegaj pokusie, aby pominąć ten krok; jest nawet ważniejszy niż reszta procesu. W raporcie musisz wskazać, co poszło nie tak, jak zareagował Twój zespół i jakie kroki podejmujesz, aby zapobiec powtórzeniu się incydentu. Podaj jak najwięcej szczegółów; jest to nie tylko dla Ciebie, ale także dla Twojego kierownictwa i jako obrona w potencjalnym procesie sądowym.

To jest niebotyczny przegląd tego, co robić; większość pracy to tylko dokumentacja i kopie zapasowe. Nie panikuj, możesz to zrobić. ja

silny

Zalecam skorzystanie z profesjonalnej pomocy w zakresie ochrony. Nawet jeśli poradzisz sobie z tym, co się dzieje, ich pomoc będzie nieoceniona i zwykle są wyposażeni w sprzęt ułatwiający i przyspieszający proces. Jeśli twój szef nie zgadza się z tą ceną, przypomnij mu, że jest to bardzo niewiele w porównaniu do procesu sądowego.
Proszę przyjąć moje pocieszenie w twojej sytuacji. Powodzenia.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

CERT posiada dokument

Kroki odzyskiwania po naruszeniu zabezpieczeń systemu UNIX lub NT
http://www.cert.org/tech_tips/ ... .html
to jest dobre. Specyficzne szczegóły techniczne tego dokumentu są nieco nieaktualne, ale nadal obowiązuje wiele ogólnych wskazówek.
Oto podsumowanie głównych kroków.
  • Sprawdź swoją politykę bezpieczeństwa lub zarządzanie.
  • Przejmij kontrolę (wyłącz komputer)
  • Przeanalizuj włamania, pobierz dzienniki, dowiedz się, co poszło nie tak
  • Personel konserwacyjny [list][*]Zainstaluj czystą wersję swojego systemu operacyjnego !!! Jeśli system został naruszony, nie możesz mu ufać, kropka.

[/*]
[*]
Zaktualizuj swoje systemy, aby to się nie powtórzyło
[/*]
[*]
Wznów operacje
[/*]
[*]
Zaktualizuj swoją politykę na przyszłość i udokumentuj
[/*]
[/list]
Chciałbym szczególnie zwrócić uwagę na sekcję E.1.

E.1. Pamiętaj, że jeśli komputer jest zagrożony, wszystko w tym systemie mogło zostać naruszone, w tym jądro, pliki binarne, pliki danych, uruchomione procesy i pamięć. Ogólnie rzecz biorąc, jedynym sposobem, aby upewnić się, że maszyna jest wolna od backdoorów i modyfikacji przez intruzów, jest ponowna instalacja uruchomionego

Jeśli nie masz jeszcze systemu takiego jak tripwire, nie ma sposobu, aby mieć 100% pewności, że system został wyczyszczony.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

  • Definiować ten problem. Przeczytaj dzienniki.
  • Zawierać ... Wyłączyłeś serwer, gotowe.
  • Wytępić ... Najprawdopodobniej ponownie zainstaluj system, którego dotyczy luka. Nie kasuj dysku twardego po jailbreaku, użyj nowego. Jest bezpieczniejszy i możesz potrzebować starego do naprawy brzydkich hacków, których nie utworzono kopii zapasowej, i do przeprowadzenia badań kryminalistycznych, aby dowiedzieć się, co się stało.
  • Przywróć ... Zainstaluj wszystko, czego potrzebujesz i przywróć kopie zapasowe, aby klienci byli online.
  • Zagryźć ... Dowiedz się, na czym polega problem i zapobiegaj nawrotom.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

„Gorzka pigułka” Roberta jest trafna, ale całkowicie ogólna (no cóż, jak twoje pytanie). Wygląda na to, że masz problem z zarządzaniem i desperacko potrzebujesz stałego administratora systemu, jeśli masz jeden serwer i 600 klientów, ale to ci teraz nie pomaga.
Prowadzę firmę hostingową, która pomaga w tej sytuacji, więc mam do czynienia z wieloma skompromitowanymi maszynami, a także używam najlepszych praktyk dla naszych własnych. Zawsze mówimy naszym klientom, których zabezpieczenia zostały naruszone, aby przywrócili system, jeśli nie są do końca pewni co do charakteru włamania. Nie ma innej odpowiedzialnej ścieżki na dłuższą metę.
Jednak prawie na pewno jesteś ofiarą skrzypka, który chciał wyrzutni do ataków DoS, bouncerów IRC lub czegoś zupełnie niezwiązanego z witrynami i danymi twoich klientów. Dlatego jako środek tymczasowy podczas odzyskiwania można rozważyć zainstalowanie na komputerze ciężkiej zapory wychodzącej. Jeśli możesz zablokować wszystkie wychodzące połączenia UDP i TCP, które nie są absolutnie niezbędne do działania Twoich witryn, możesz łatwo uczynić zhakowaną skrzynkę pocztową bezużyteczną dla tych, którzy ją od Ciebie pożyczyli, i zniwelować wpływ na sieć Twojego usługodawcy internetowego.
Ten proces może zająć kilka godzin, jeśli nie zrobiłeś tego wcześniej i nigdy nie rozważałeś zapory, ale może pomóc w przywróceniu usługi klienta.

narażając się na dalsze zapewnianie osobie atakującej dostępu do danych klientów
... Ponieważ mówisz, że masz setki klientów na jednym komputerze, zakładam, że hostujesz małe strony internetowe z broszurami dla małych firm, a nie 600 systemów e-commerce wypełnionych numerami kart kredytowych. Jeśli tak, może to stanowić akceptowalne ryzyko, a przywrócenie systemu do trybu online jest szybsze niż sprawdzenie 600 witryn pod kątem błędów bezpieczeństwa.

z przodu

przynosisz coś z powrotem. Ale będziesz wiedział, jakie są tam dane i jak komfortowo będziesz podejmować tę decyzję.
To absolutnie nie jest najlepsza praktyka, ale jeśli do tej pory tak się nie stało, potrząśnij palcem i poproś zespół SWAT o dziesiątki tysięcy funtów za to, co mogą uznać za Twój błąd (bez względu na to, jak nieuzasadniony !) Nie wygląda na praktyczną opcję.
W tym przypadku bardzo ważna będzie pomoc od usługodawcy internetowego - niektórzy dostawcy usług internetowych

udostępnić serwer konsoli i sieciowe środowisko rozruchowe
http://www.bytemark.co.uk/supp ... shell
(podłącz go, ale przynajmniej wiesz, jakiego narzędzia szukać), które pozwoli Ci zarządzać serwerem, gdy jest offline. Jeśli to w ogóle opcja, zapytaj i użyj jej.
Ale na dłuższą metę powinieneś zaplanować przebudowę systemu na podstawie postu Roberta i audyt każdej witryny i jej konfiguracji. Jeśli nie możesz dodać administratora systemu do swojego zespołu, poszukaj

zarządzany hosting
http://www.bytemark.co.uk/managed_hosting
umowa, w której płacisz swojemu dostawcy usług internetowych za pomoc administratora systemu i 24-godzinną reakcję na takie rzeczy. Powodzenia :)
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Musisz ponownie zainstalować. Oszczędzaj to, czego naprawdę potrzebujesz. Należy jednak pamiętać, że wszystkie pliki wykonywalne mogą zostać zainfekowane lub zmienione. Napisałem w pythonie:

http://frw.se/monty.py
http://frw.se/monty.py
który tworzy sumy MD5 wszystkich twoich plików w danym katalogu, a przy następnym uruchomieniu sprawdza, czy coś się zmieniło, a następnie wypisuje, które pliki się zmieniły i co się zmieniło w plikach.
Może to być przydatne, aby sprawdzić, czy dziwne pliki zmieniają się regularnie.
Ale jedyne, co musisz teraz zrobić, to usunąć komputer z Internetu.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:


UWAGA:

To nie jest zalecenie. Mój konkretny

Reagowania na incydenty

protokół
<strike>
prawdopodobnie nie będzie
</strike>
nie dotyczy bez zmian w przypadku Granta Uvina.
W naszych instytucjach edukacyjnych pracuje około 300 naukowców zajmujących się wyłącznie informatyką. Masz 600 klientów ze stronami internetowymi, więc Twój protokół prawdopodobnie będzie inny.
Pierwsze kroki w naszym

Gdy serwer otrzyma uszkodzony protokół

jest:
  • Ustal, czy atakujący był w stanie uzyskać root (podwyższone uprawnienia)
  • Odłącz dotknięte serwery. Sieć czy moc Spójrz na to, proszę osobna dyskusja https://serverfault.com/questi ... 18311 .
  • Sprawdź wszystkie inne systemy
  • Uruchom zagrożone serwery z Live CD
  • (opcjonalny) Zrób zdjęcia wszystkich dysków systemowych z
               dd         
  • Rozpocznij sekcję zwłok. Spójrz na dzienniki, znajdź czas ataku, znajdź pliki, które zmieniły się w tym czasie. Spróbuj odpowiedzieć W jaki sposób pytanie. [list][*]Planuj i prowadź regenerację równolegle.
  • Zresetuj wszystkie hasła roota i użytkownika przed wznowieniem usługi

[/*]
[/list]
Nawet jeśli „wszystkie backdoory i rootkity zostaną wyczyszczone”, nie ufaj temu systemowi - zainstaluj ponownie od podstaw.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Z mojego ograniczonego doświadczenia wynika, że ​​przejęcie systemu w Linuksie jest zwykle bardziej „wszechobecne” niż w Windows. Najprawdopodobniej rootkity będą wymagały zastąpienia plików binarnych systemu niestandardowym kodem w celu ukrycia złośliwego oprogramowania, a bariera uniemożliwiająca podłączanie jądra na gorąco jest nieco niższa. Jest to również domowy system operacyjny dla wielu twórców złośliwego oprogramowania. Ogólną wytyczną jest to, aby zawsze przywracać uszkodzony serwer od zera i jest to ogólna wskazówka z konkretnego powodu.
Sformatuj tego szczeniaka.

Ale jeśli nie możesz odbudować (lub moce, które są, nie pozwolą ci odbudować go wbrew twojemu napiętemu naleganiu, że jej potrzebuje), czego szukasz?

Ponieważ wygląda na to, że od wykrycia włamania i przywrócenia systemu minęło trochę czasu, jest bardzo prawdopodobne, że ślady ich infiltracji zostały zdeptane, aby przywrócić usługę. Nieszczęśliwy.
Nietypowy ruch sieciowy jest prawdopodobnie najłatwiejszy do wykrycia, ponieważ nie wymaga uruchamiania czegokolwiek na komputerze i można go wykonać, gdy serwer działa i robi cokolwiek. Zakładając oczywiście, że sprzęt sieciowy może korzystać z portów. To, co znajdziesz, może być diagnostyczne lub nie, ale przynajmniej jest to informacja. Otrzymywanie nietypowego ruchu będzie mocnym dowodem na to, że system jest nadal zhakowany i wymaga naprawy. To może wystarczyć, aby przekonać TPTB, że ponowne formatowanie jest naprawdę warte przestoju.
W przeciwnym razie weź kopię dd partycji systemowych i zamontuj je na innym komputerze. Zacznij porównywać zawartość z serwerem na tym samym poziomie poprawek, co ten zepsuty. Powinno to pomóc w określeniu, co wygląda inaczej (ponownie te sumy md5) i może wskazywać brakujące obszary na zaatakowanym serwerze. Iterowanie po katalogach i plikach binarnych jest DUŻO i będzie dość czasochłonne. Może to być nawet bardziej czasochłonne niż ponowne formatowanie/ponowne łączenie i być może jest to kolejna rzecz, w której TPTB może faktycznie przeprowadzić ponowne formatowanie, którego naprawdę potrzebuje.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Powiedziałbym, że @Robert Moir, @Aleksandr Levchuk, @blueben i @Matthew Bloch byli dość trafni w swoich odpowiedziach.
Jednak odpowiedzi z różnych plakatów różnią się - niektóre z nich są na wyższym poziomie i mówią o tym, jakie procedury należy zastosować (ogólnie).
Wolałbym podzielić to na kilka oddzielnych części 1) Sortowanie, znane również jako Jak postępować z klientami i implikacjami prawnymi, i określić, co dalej robić (bardzo dobrze wymienione przez Roberta i @blueben 2) Ograniczanie wpływu 3) Reakcja na incydenty 4) Badanie patologiczne 5) Elementy korekcyjne i zmiany w architekturze
(Wstaw tutaj standardową odpowiedź z certyfikatem SANS GSC) Na podstawie wcześniejszych doświadczeń powiedziałbym tak:
Bez względu na to, jak radzisz sobie z odpowiedziami klientów, powiadomieniami, kwestiami prawnymi i planami na przyszłość, wolę skupić się na podstawowym problemie. Pierwotne pytanie OP tak naprawdę odnosi się bezpośrednio tylko do # 2 i # 3, czyli jak powstrzymać atak, jak najszybciej uruchomić klientów online w ich pierwotnym stanie, który jest szczegółowo opisany w odpowiedziach.
Pozostałe odpowiedzi są świetne i obejmują wiele zidentyfikowanych najlepszych praktyk oraz sposoby zapobiegania przyszłym podobieństwom i skuteczniejszego reagowania.
To naprawdę zależy od budżetu PE i branży, w której działają, jakie jest pożądane rozwiązanie itp.
Może muszą lokalnie zatrudnić dedykowanego SA. Może potrzebują strażnika. A może potrzebują w pełni zarządzanego rozwiązania, takiego jak Firehost lub Rackspace Managed, Softlayer, ServePath itp.
To naprawdę zależy od tego, co działa na ich firmę. Może ich podstawową kompetencją nie jest zarządzanie serwerami i nie ma sensu, aby próbowali je rozwijać. A może są już dość techniczną organizacją i mogą podejmować właściwe decyzje dotyczące zatrudniania i zatrudniać oddany pełnoetatowy zespół.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Po zabraniu się do pracy i obejrzeniu serwera, udało nam się rozwiązać problem. Na szczęście szkodliwe pliki zostały przesłane do systemu w niedzielę, kiedy biuro było zamknięte i nie należy generować żadnych plików poza plikami dziennika i plikami pamięci podręcznej. Używając prostego polecenia powłoki, aby dowiedzieć się, jakie pliki zostały utworzone tego dnia, znaleźliśmy je.
Wydawało się, że wszystkie złośliwe pliki znajdują się w folderze/images/w niektórych naszych starych witrynach zencart. Wyglądało na to, że istniała luka w zabezpieczeniach, która pozwalała (z curl) każdemu idiocie na przesyłanie obrazów innych niż obrazy do sekcji przesyłania obrazów w sekcji administracyjnej. Usunęliśmy obraźliwe pliki .php i naprawiliśmy skrypty przesyłania, które nie zezwalały na przesyłanie żadnych plików innych niż obrazy.
Z perspektywy czasu było to całkiem łatwe i poruszyłem to na moim iPhonie w drodze do pracy. Dzięki za pomoc.
W celach informacyjnych dla każdego, kto odwiedzi ten post w przyszłości. będę

nie

Zalecam odłączenie wtyczki.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Niewiele mogę wnieść do szczegółowych odpowiedzi technicznych, ale proszę również spojrzeć na niektóre z nich:

Działania nietechniczne:
>
  • Zgłoś zdarzenie wewnętrznie. Jeśli nie masz jeszcze planu reagowania na incydenty, który może wydawać się metodą CYA, ale IT nie jest jedynym i często nawet najlepszym miejscem do zdefiniowania wpływ na biznes zhakowany serwer. Wymagania biznesowe mogą pokonać wyzwania techniczne. Nie mów: „Tak ci mówiłem”, a priorytetem biznesowym jest przede wszystkim powód, dla którego masz uszkodzony serwer. (" Zostaw to w raporcie aktywności. ")
  • Tuszowanie incydentu związanego z bezpieczeństwem nie wchodzi w grę.
  • Raportowanie do władz lokalnych. ServerFault NIE jest miejscem na porady prawne, ale jest to coś, co powinno być uwzględnione w planie reagowania na incydenty. W niektórych miejscowościach i/lub regulowanych branżach obowiązkowe jest zgłaszanie (niektórych) incydentów związanych z bezpieczeństwem lokalnym organom ścigania, organom regulacyjnym lub informowanie dotkniętych nimi klientów/użytkowników. Jednak ani decyzja o złożeniu raportu, ani sam raport nie jest podejmowany wyłącznie przez dział IT. Oczekuj zaangażowania przywództwa, prawników i komunikacji korporacyjnej (marketing). Prawdopodobnie nie powinieneś oczekiwać zbyt wiele, internet to duże miejsce, w którym granice nie mają większego znaczenia, ale wydziały ds. Cyberprzestępczości, które istnieją w wielu departamentach policji, wykrywają przestępstwa cyfrowe i mogą postawić winnych przed wymiarem sprawiedliwości.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Niedawno pomogła mi dobra usługa online, aby zobaczyć, w jaki sposób osoba atakująca może złamać zabezpieczenia systemu. Niektórzy crackerzy próbują ukryć swoje ślady, udając czasy modyfikacji plików. W przypadku zmiany czasu modyfikacji aktualizowany jest czas modyfikacji (ctime). możesz zobaczyć ctime ze stat.
Ta linijka wyświetla wszystkie pliki posortowane według ctime:
find/-type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr >/root/all_files.txt

Dlatego jeśli znasz w przybliżeniu czas pęknięcia, możesz zobaczyć, które pliki zostały zmodyfikowane lub utworzone.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Myślę, że wszystko sprowadza się do tego:

Jeśli cenisz swoją pracę, lepiej mieć plan i regularnie go korygować.

Brak planowania oznacza planowanie awarii, a dotyczy to tylko bezpieczeństwa systemu. gdy

& < edytowano & >

zadziwia fana, lepiej bądź przygotowany, aby sobie z tym poradzić.
Jest jeszcze jedno (nieco banalne) powiedzenie, które ma tutaj zastosowanie:

Lepiej jest zapobiegać niż leczyć

.
Przedstawiono tutaj szereg wskazówek, aby sprowadzić ekspertów do audytu istniejących systemów. Myślę, że zadaję to pytanie w złym momencie. To pytanie należało zadać, gdy system został wdrożony, a odpowiedzi zostały udokumentowane. Ponadto pytanie nie powinno brzmieć: „Jak możemy zapobiec infiltracji przez ludzi?” Powinno brzmieć: „Dlaczego ludzie mieliby w ogóle móc hakować?” Inspekcja wielu dziur w sieci będzie działać tylko do momentu wykrycia i wykorzystania nowych dziur. Z drugiej strony sieci zaprojektowane od podstaw tak, aby reagować tylko w określony sposób na określone systemy w starannie zaplanowanym tańcu, w ogóle nie skorzystają na audycie, a fundusze zostaną zmarnowane.
Przed podłączeniem systemu do Internetu zadaj sobie pytanie - czy powinien być w pełni połączony z Internetem? Jeśli nie, nie rób tego. Rozważ umieszczenie go za zaporą ogniową, aby móc zdecydować, co widzi internet. Jeszcze lepiej, jeśli wspomniana zapora ogniowa umożliwia przechwytywanie transmisji (przez odwrotne proxy lub jakiś rodzaj filtru typu end-to-end), rozważ użycie jej do zezwalania tylko na legalne działania.
Zrobiono to - gdzieś jest (lub była) konfiguracja bankowości internetowej z proxy równoważenia obciążenia, które idzie do Internetu, którego zamierzali użyć do ataków wektorowych poza pulą serwerów. Ekspert ds. Bezpieczeństwa Markus Ranum przekonał ich do przeciwnego podejścia,

używanie zwrotnego proxy do przekazywania tylko znanych prawidłowych adresów URL i wysyłania wszystkiego innego na serwer 404
http://web.archive.org/web/201 ... ml... Zaskakująco dobrze przetrwał próbę czasu.
System lub sieć oparte na domyślnej rozdzielczości są skazane na niepowodzenie, jeśli nastąpi atak, którego nie przewidziałeś. Domyślny zakaz zapewnia znacznie większą kontrolę nad tym, co jest w środku, a co nie, ponieważ nie pozwolisz, aby coś wewnątrz było widoczne z zewnątrz.

jeśli jest cholernie dobre, to nie powinno

.
Jednak nic z tego nie jest powodem do samozadowolenia. Nadal powinieneś mieć plan na pierwsze kilka godzin po naruszeniu. Nie ma idealnego systemu i ludzie popełniają błędy.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się