Jak radzić sobie z zagrożonym serwerem?
to
Pytanie kanoniczne
http://meta.serverfault.com/questions/1986
o bezpieczeństwie serwerów - reagowanie na zdarzenia hakerskie (hacking)
Zobacz też:
Wersja kanoniczna
Podejrzewam, że co najmniej jeden z moich serwerów został przejęty przez hakera, wirusa lub inny mechanizm:
Orginalna wersja
2011.01.02
- Idę do pracy o 21.30. w niedzielę, ponieważ nasz serwer został w jakiś sposób przejęty
DOS
http://en.wikipedia.org/wiki/D ... ttack
atak na naszego dostawcę. Serwery dostępu do Internetu zostały wyłączone, co oznacza, że ponad 5-600 witryn naszych klientów nie działa. Teraz może to być włamanie do FTP lub jakaś słabość w kodzie. Nie jestem pewien, dopóki tam nie dotrę.
Jak mogę to szybko śledzić? Jeśli nie otrzymam kopii zapasowej serwera tak szybko, jak to możliwe, będzie wiele spraw sądowych. Każda pomoc jest mile widziana. Używamy Open SUSE 11.0.
2011.01.03
- Dziękuję wszystkim za pomoc. Na szczęście NIE JESTEM jedynym odpowiedzialnym za ten serwer, tylko ten najbliżej niego. Udało nam się rozwiązać ten problem, chociaż może nie dotyczyć wielu innych w innej sytuacji. Opowiem szczegółowo, co zrobiliśmy.
Odłączyliśmy serwer od sieci. Przeprowadził (próbował przeprowadzić) atak typu „odmowa usługi” na inny serwer w Indonezji, a winny również tam był.
Najpierw próbowaliśmy ustalić, skąd się to bierze, biorąc pod uwagę, że mamy ponad 500 witryn na serwerze i spodziewaliśmy się, że przez jakiś czas będziemy pracować. Jednak nadal mając dostęp do SSH, uruchomiliśmy polecenie, aby znaleźć wszystkie pliki edytowane lub utworzone podczas ataku. Na szczęście szkodliwy plik powstał podczas ferii zimowych, co spowodowało, że na serwerze powstało wówczas niewiele innych plików.
Byliśmy wtedy w stanie zidentyfikować naruszający plik, który znajdował się w folderze pobranych obrazów w folderze
ZenCart
http://en.wikipedia.org/wiki/Zen_Cart
Stronie internetowej.
Po krótkiej przerwie na papierosy doszliśmy do wniosku, że ze względu na lokalizację plików muszą one zostać pobrane za pośrednictwem narzędzia do przesyłania plików, które nie zostało odpowiednio zabezpieczone. Po pewnym googlowaniu odkryliśmy lukę w zabezpieczeniach, która umożliwiała przesyłanie plików do panelu administracyjnego ZenCart w celu zrobienia zdjęcia dla wytwórni płytowej. (Sekcja, z której nigdy nawet nie korzystał), wysyłając ten formularz, po prostu załadował dowolny plik, nie sprawdzał rozszerzenia pliku, ani nawet nie sprawdzał, czy użytkownik jest zalogowany.
Oznaczało to, że można przesłać dowolny plik, w tym plik PHP do ataku. Zabezpiecziliśmy lukę za pomocą ZenCart na zainfekowanej stronie i usunęliśmy szkodliwe pliki.
Praca została wykonana i byłem w domu o 2 nad ranem.
Moralność
- Zawsze stosuj łaty bezpieczeństwa dla ZenCart lub innego CMS w tym zakresie. Podobnie jak w przypadku wydania aktualizacji zabezpieczeń, cały świat jest świadomy luki w zabezpieczeniach. - Zawsze rób kopie zapasowe i kopie zapasowe kopii zapasowych. - Zatrudnij lub zatrudnij kogoś, kto będzie tam w takich momentach. Aby nikt nie polegał na poście paniki dotyczącym awarii serwera.
Pytanie kanoniczne
http://meta.serverfault.com/questions/1986
o bezpieczeństwie serwerów - reagowanie na zdarzenia hakerskie (hacking)
Zobacz też:
- Wskazówki dotyczące zabezpieczania serwera LAMP https://serverfault.com/questi ... erver
- Zainstalować ponownie po zhakowaniu roota https://serverfault.com/questi ... omise
Wersja kanoniczna
Podejrzewam, że co najmniej jeden z moich serwerów został przejęty przez hakera, wirusa lub inny mechanizm:
- Jakie mam pierwsze kroki Czy muszę wyłączać serwer po przybyciu na miejsce, zapisywać „dowody”, czy są jakieś inne wstępne uwagi
- Jak przywrócić usługi online
- Jak mogę zapobiec powtórzeniu się tego samego od razu
- Czy są jakieś najlepsze praktyki lub techniki uczenia się na podstawie tego incydentu
- Gdybym chciał stworzyć plan reagowania na incydenty, od czego powinienem zacząć Czy powinno to być częścią mojego planu odtwarzania po awarii lub planu ciągłości biznesowej
Orginalna wersja
2011.01.02
- Idę do pracy o 21.30. w niedzielę, ponieważ nasz serwer został w jakiś sposób przejęty
DOS
http://en.wikipedia.org/wiki/D ... ttack
atak na naszego dostawcę. Serwery dostępu do Internetu zostały wyłączone, co oznacza, że ponad 5-600 witryn naszych klientów nie działa. Teraz może to być włamanie do FTP lub jakaś słabość w kodzie. Nie jestem pewien, dopóki tam nie dotrę.
Jak mogę to szybko śledzić? Jeśli nie otrzymam kopii zapasowej serwera tak szybko, jak to możliwe, będzie wiele spraw sądowych. Każda pomoc jest mile widziana. Używamy Open SUSE 11.0.
2011.01.03
- Dziękuję wszystkim za pomoc. Na szczęście NIE JESTEM jedynym odpowiedzialnym za ten serwer, tylko ten najbliżej niego. Udało nam się rozwiązać ten problem, chociaż może nie dotyczyć wielu innych w innej sytuacji. Opowiem szczegółowo, co zrobiliśmy.
Odłączyliśmy serwer od sieci. Przeprowadził (próbował przeprowadzić) atak typu „odmowa usługi” na inny serwer w Indonezji, a winny również tam był.
Najpierw próbowaliśmy ustalić, skąd się to bierze, biorąc pod uwagę, że mamy ponad 500 witryn na serwerze i spodziewaliśmy się, że przez jakiś czas będziemy pracować. Jednak nadal mając dostęp do SSH, uruchomiliśmy polecenie, aby znaleźć wszystkie pliki edytowane lub utworzone podczas ataku. Na szczęście szkodliwy plik powstał podczas ferii zimowych, co spowodowało, że na serwerze powstało wówczas niewiele innych plików.
Byliśmy wtedy w stanie zidentyfikować naruszający plik, który znajdował się w folderze pobranych obrazów w folderze
ZenCart
http://en.wikipedia.org/wiki/Zen_Cart
Stronie internetowej.
Po krótkiej przerwie na papierosy doszliśmy do wniosku, że ze względu na lokalizację plików muszą one zostać pobrane za pośrednictwem narzędzia do przesyłania plików, które nie zostało odpowiednio zabezpieczone. Po pewnym googlowaniu odkryliśmy lukę w zabezpieczeniach, która umożliwiała przesyłanie plików do panelu administracyjnego ZenCart w celu zrobienia zdjęcia dla wytwórni płytowej. (Sekcja, z której nigdy nawet nie korzystał), wysyłając ten formularz, po prostu załadował dowolny plik, nie sprawdzał rozszerzenia pliku, ani nawet nie sprawdzał, czy użytkownik jest zalogowany.
Oznaczało to, że można przesłać dowolny plik, w tym plik PHP do ataku. Zabezpiecziliśmy lukę za pomocą ZenCart na zainfekowanej stronie i usunęliśmy szkodliwe pliki.
Praca została wykonana i byłem w domu o 2 nad ranem.
Moralność
- Zawsze stosuj łaty bezpieczeństwa dla ZenCart lub innego CMS w tym zakresie. Podobnie jak w przypadku wydania aktualizacji zabezpieczeń, cały świat jest świadomy luki w zabezpieczeniach. - Zawsze rób kopie zapasowe i kopie zapasowe kopii zapasowych. - Zatrudnij lub zatrudnij kogoś, kto będzie tam w takich momentach. Aby nikt nie polegał na poście paniki dotyczącym awarii serwera.
Nie znaleziono powiązanych wyników
Zaproszony:
Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się
13 odpowiedzi
Anonimowy użytkownik
Potwierdzenie od:
[b]
Nie panikować
[/b]>Po pierwsze, nie ma innych „szybkich rozwiązań” niż przywrócenie systemu z kopii zapasowej sprzed inwazji, a to wiąże się z co najmniej dwoma problemami.
To pytanie jest stale zadawane przez ofiary ataków hakerów na ich serwer WWW. Odpowiedzi rzadko się zmieniają, ale ludzie wciąż zadają pytania. Nie wiem dlaczego. Może ludziom po prostu nie podobają się odpowiedzi, które widzieli, szukając pomocy, lub nie mogą znaleźć kogoś, komu ufają, i udzieli im porady. A może ludzie czytają odpowiedź na to pytanie i zbytnio koncentrują się na 5%, dlaczego ich przypadek jest wyjątkowy i różni się od odpowiedzi, które mogą znaleźć w Internecie, i pomijają 95% pytań i odpowiedzi, gdy ich sprawa jest wystarczająco bliska, np. to, co czytają w Internecie.
To prowadzi mnie do pierwszej ważnej informacji. Naprawdę doceniam to, że jesteś wyjątkowym, niepowtarzalnym płatkiem śniegu. Doceniam, że Twoja strona internetowa jest również odzwierciedleniem Ciebie i Twojej firmy, a przynajmniej Twojej ciężkiej pracy w imieniu pracodawcy. Ale dla kogoś z zewnątrz, czy to specjalisty ds. Bezpieczeństwa komputerowego badającego problem, aby spróbować pomóc, czy nawet samego atakującego, jest wysoce prawdopodobne, że Twój problem będzie co najmniej w 95% identyczny z każdym innym przypadkiem, który ma. kiedykolwiek spojrzał.
Nie odbieraj ataku osobiście i nie przyjmuj osobiście poniższych zaleceń lub zaleceń innych osób. Jeśli czytasz to po tym, jak padłeś ofiarą włamania do witryny, przepraszam i naprawdę mam nadzieję, że znajdziesz tutaj coś przydatnego, ale teraz nie jest czas, aby pozwolić swojemu ego przeszkodzić temu, czego potrzebujesz. robić.
Właśnie dowiedziałeś się, że Twój serwer (y) został zhakowany. Co teraz?
Nie panikować. Nie działaj w pośpiechu, nie próbuj udawać, że nic się nie stało i nie działaj w ogóle.
Po pierwsze: zrozumieć, że katastrofa już się wydarzyła. Teraz nie czas na zaprzeczenie; Nadszedł czas, aby zaakceptować to, co stało się realistami w tym zakresie i podejmuje kroki w celu zarządzania skutkami wpływu.
Niektóre z tych kroków mogą być szkodliwe i (chyba że Twoja witryna zawiera kopię moich danych) naprawdę nie obchodzi mnie, czy zignorujesz niektóre lub wszystkie z nich, to zależy od Ciebie. Jednak właściwe przestrzeganie ich ostatecznie poprawi sytuację. Lekarstwo może smakować okropnie, ale czasami musisz go zignorować, jeśli naprawdę chcesz, aby lek działał.
Zapobiegaj pogorszeniu się problemu niż jest teraz:
Tak samo jak zirytowani są Twoi klienci, jeśli powiesz im o problemie, będą znacznie bardziej zirytowani, jeśli im nie powiesz, a dowiedzą się dopiero po tym, jak ktoś odpisze towary o wartości 8000 USD przy użyciu danych karty kredytowej. które ukradli z Twojej witryny.
Pamiętasz, co powiedziałem wcześniej? Zło już się wydarzyło. Pytanie tylko, jak dobrze to robisz.
Aby w pełni zrozumieć problem:
Dlaczego po prostu nie „naprawić” znalezionego exploita lub rootkita i ponownie podłączyć system?
W takich sytuacjach problem polega na tym, że nie kontrolujesz już tego systemu. To już nie jest twój komputer.
To jedyny sposób
pewny
że masz kontrolę nad systemem, oznacza odbudowę systemu. Wykrywanie i naprawianie exploita używanego do włamania się do systemu jest ważne, ale nie można być pewnym, co jeszcze zostało zrobione w systemie po przejęciu kontroli przez osoby atakujące (w rzeczywistości nie jest to niczym niezwykłym w przypadku hakerów, którzy rekrutują systemy do botnetu w celu naprawienia exploitów, które używali samych siebie, aby chronić „swój” nowy komputer przed innymi hakerami i instalować swoje rootkity).
Przygotuj plan odzyskania i umieszczenia witryny w trybie online i trzymaj się go:
Nikt nie chce pozostać offline dłużej niż to konieczne. To jest oczywiste. Jeśli ta strona internetowa jest narzędziem generującym przychody, presja, aby szybko przywrócić ją online, będzie silna. Nawet jeśli jedyną rzeczą, o którą toczy się gra, jest reputacja Twojej/Twojej firmy, nadal będzie to powodować dużą presję, aby szybko odbudować sytuację.
Nie ulegaj jednak pokusie, aby wrócić do trybu online zbyt szybko. Zamiast tego działaj tak szybko, jak to możliwe, aby zrozumieć, co spowodowało problem, i napraw go przed ponownym połączeniem się z siecią, w przeciwnym razie prawie na pewno ponownie padniesz ofiarą włamania i pamiętaj, że „jednorazowe zhakowanie można uznać za nieszczęście; natychmiastowe zhakowanie wygląda na zaniedbanie ”(z przeprosinami dla Oscara Wilde'a).
Mniejsze ryzyko w przyszłości.
Pierwszą rzeczą, którą musisz zrozumieć, jest to, że bezpieczeństwo to proces, który musisz zastosować przez cały cykl projektowania, wdrażania i konserwacji systemu połączonego z Internetem, a nie coś, co można następnie umieścić w swoim kodzie. Jak malować tanio. Aby usługa i aplikacja były odpowiednio zabezpieczone, muszą być projektowane od samego początku, mając to na uwadze jako jeden z głównych celów projektu. Rozumiem, że to jest nudne i słyszałeś już to wszystko wcześniej, i że „po prostu nie zdaję sobie sprawy, kto jest pod presją”, aby przetłumaczyć wersję beta Web 2.0 (beta) na wersję beta w Internecie, ale fakt polega na tym, że to się powtarza, ponieważ było to prawdą za pierwszym razem i jeszcze nie stało się kłamstwem.
Nie możesz wyeliminować ryzyka. Nie powinieneś nawet próbować tego robić. Powinieneś jednak zrozumieć, jakie zagrożenia bezpieczeństwa są dla Ciebie ważne i zrozumieć, jak zarządzać i łagodzić zarówno wpływ ryzyka, jak i prawdopodobieństwo jego wystąpienia.
Jakie kroki możesz podjąć, aby zmniejszyć prawdopodobieństwo sukcesu ataku?
Na przykład:
Jakie kroki możesz podjąć, aby złagodzić skutki udanego ataku?
Jeśli zdecydujesz, że „ryzyko” zalania twojego dolnego piętra jest wysokie, ale niewystarczające, aby uzasadnić przeprowadzkę, powinieneś przynajmniej przenieść swoje niezastąpione pamiątki na górę. Prawidłowo?
... i w końcu
Prawdopodobnie nie przeoczyłem tego, co inni uważają za ważne, ale powyższe kroki powinny przynajmniej pomóc ci w rozpoczęciu zastanawiania się, jeśli masz nieszczęście paść ofiarą hakerów.
Po pierwsze: nie panikuj. Pomyśl, zanim to zrobisz. Po podjęciu decyzji działaj stanowczo i zostaw komentarz poniżej, jeśli masz coś do dodania do mojej listy kroków.
Anonimowy użytkownik
Potwierdzenie od:
Potrzebujesz również kogoś do sortowania klientów; Na pewno ktoś już jest. Ktoś powinien z nimi rozmawiać przez telefon, aby wyjaśnić, co się dzieje, co jest robione, aby rozwiązać sytuację, i odpowiedzieć na ich pytania.
W takim razie potrzebujesz ...
To jest niebotyczny przegląd tego, co robić; większość pracy to tylko dokumentacja i kopie zapasowe. Nie panikuj, możesz to zrobić. ja
silny
Zalecam skorzystanie z profesjonalnej pomocy w zakresie ochrony. Nawet jeśli poradzisz sobie z tym, co się dzieje, ich pomoc będzie nieoceniona i zwykle są wyposażeni w sprzęt ułatwiający i przyspieszający proces. Jeśli twój szef nie zgadza się z tą ceną, przypomnij mu, że jest to bardzo niewiele w porównaniu do procesu sądowego.
Proszę przyjąć moje pocieszenie w twojej sytuacji. Powodzenia.
Anonimowy użytkownik
Potwierdzenie od:
Kroki odzyskiwania po naruszeniu zabezpieczeń systemu UNIX lub NT
http://www.cert.org/tech_tips/ ... .html
to jest dobre. Specyficzne szczegóły techniczne tego dokumentu są nieco nieaktualne, ale nadal obowiązuje wiele ogólnych wskazówek.
Oto podsumowanie głównych kroków.
[/*]
[*]
Zaktualizuj swoje systemy, aby to się nie powtórzyło
[/*]
[*]
Wznów operacje
[/*]
[*]
Zaktualizuj swoją politykę na przyszłość i udokumentuj
[/*]
[/list]
Chciałbym szczególnie zwrócić uwagę na sekcję E.1.
E.1. Pamiętaj, że jeśli komputer jest zagrożony, wszystko w tym systemie mogło zostać naruszone, w tym jądro, pliki binarne, pliki danych, uruchomione procesy i pamięć. Ogólnie rzecz biorąc, jedynym sposobem, aby upewnić się, że maszyna jest wolna od backdoorów i modyfikacji przez intruzów, jest ponowna instalacja uruchomionego
Jeśli nie masz jeszcze systemu takiego jak tripwire, nie ma sposobu, aby mieć 100% pewności, że system został wyczyszczony.
Anonimowy użytkownik
Potwierdzenie od:
Anonimowy użytkownik
Potwierdzenie od:
Prowadzę firmę hostingową, która pomaga w tej sytuacji, więc mam do czynienia z wieloma skompromitowanymi maszynami, a także używam najlepszych praktyk dla naszych własnych. Zawsze mówimy naszym klientom, których zabezpieczenia zostały naruszone, aby przywrócili system, jeśli nie są do końca pewni co do charakteru włamania. Nie ma innej odpowiedzialnej ścieżki na dłuższą metę.
Jednak prawie na pewno jesteś ofiarą skrzypka, który chciał wyrzutni do ataków DoS, bouncerów IRC lub czegoś zupełnie niezwiązanego z witrynami i danymi twoich klientów. Dlatego jako środek tymczasowy podczas odzyskiwania można rozważyć zainstalowanie na komputerze ciężkiej zapory wychodzącej. Jeśli możesz zablokować wszystkie wychodzące połączenia UDP i TCP, które nie są absolutnie niezbędne do działania Twoich witryn, możesz łatwo uczynić zhakowaną skrzynkę pocztową bezużyteczną dla tych, którzy ją od Ciebie pożyczyli, i zniwelować wpływ na sieć Twojego usługodawcy internetowego.
Ten proces może zająć kilka godzin, jeśli nie zrobiłeś tego wcześniej i nigdy nie rozważałeś zapory, ale może pomóc w przywróceniu usługi klienta.
narażając się na dalsze zapewnianie osobie atakującej dostępu do danych klientów
... Ponieważ mówisz, że masz setki klientów na jednym komputerze, zakładam, że hostujesz małe strony internetowe z broszurami dla małych firm, a nie 600 systemów e-commerce wypełnionych numerami kart kredytowych. Jeśli tak, może to stanowić akceptowalne ryzyko, a przywrócenie systemu do trybu online jest szybsze niż sprawdzenie 600 witryn pod kątem błędów bezpieczeństwa.
z przodu
przynosisz coś z powrotem. Ale będziesz wiedział, jakie są tam dane i jak komfortowo będziesz podejmować tę decyzję.
To absolutnie nie jest najlepsza praktyka, ale jeśli do tej pory tak się nie stało, potrząśnij palcem i poproś zespół SWAT o dziesiątki tysięcy funtów za to, co mogą uznać za Twój błąd (bez względu na to, jak nieuzasadniony !) Nie wygląda na praktyczną opcję.
W tym przypadku bardzo ważna będzie pomoc od usługodawcy internetowego - niektórzy dostawcy usług internetowych
udostępnić serwer konsoli i sieciowe środowisko rozruchowe
http://www.bytemark.co.uk/supp ... shell
(podłącz go, ale przynajmniej wiesz, jakiego narzędzia szukać), które pozwoli Ci zarządzać serwerem, gdy jest offline. Jeśli to w ogóle opcja, zapytaj i użyj jej.
Ale na dłuższą metę powinieneś zaplanować przebudowę systemu na podstawie postu Roberta i audyt każdej witryny i jej konfiguracji. Jeśli nie możesz dodać administratora systemu do swojego zespołu, poszukaj
zarządzany hosting
http://www.bytemark.co.uk/managed_hosting
umowa, w której płacisz swojemu dostawcy usług internetowych za pomoc administratora systemu i 24-godzinną reakcję na takie rzeczy. Powodzenia :)
Anonimowy użytkownik
Potwierdzenie od:
http://frw.se/monty.py
http://frw.se/monty.py
który tworzy sumy MD5 wszystkich twoich plików w danym katalogu, a przy następnym uruchomieniu sprawdza, czy coś się zmieniło, a następnie wypisuje, które pliki się zmieniły i co się zmieniło w plikach.
Może to być przydatne, aby sprawdzić, czy dziwne pliki zmieniają się regularnie.
Ale jedyne, co musisz teraz zrobić, to usunąć komputer z Internetu.
Anonimowy użytkownik
Potwierdzenie od:
UWAGA:
To nie jest zalecenie. Mój konkretny
Reagowania na incydenty
protokół
<strike>
prawdopodobnie nie będzie
</strike>
nie dotyczy bez zmian w przypadku Granta Uvina.
W naszych instytucjach edukacyjnych pracuje około 300 naukowców zajmujących się wyłącznie informatyką. Masz 600 klientów ze stronami internetowymi, więc Twój protokół prawdopodobnie będzie inny.
Pierwsze kroki w naszym
Gdy serwer otrzyma uszkodzony protokół
jest:
[/*]
[/list]
Nawet jeśli „wszystkie backdoory i rootkity zostaną wyczyszczone”, nie ufaj temu systemowi - zainstaluj ponownie od podstaw.
Anonimowy użytkownik
Potwierdzenie od:
Sformatuj tego szczeniaka.
Ale jeśli nie możesz odbudować (lub moce, które są, nie pozwolą ci odbudować go wbrew twojemu napiętemu naleganiu, że jej potrzebuje), czego szukasz?
Ponieważ wygląda na to, że od wykrycia włamania i przywrócenia systemu minęło trochę czasu, jest bardzo prawdopodobne, że ślady ich infiltracji zostały zdeptane, aby przywrócić usługę. Nieszczęśliwy.
Nietypowy ruch sieciowy jest prawdopodobnie najłatwiejszy do wykrycia, ponieważ nie wymaga uruchamiania czegokolwiek na komputerze i można go wykonać, gdy serwer działa i robi cokolwiek. Zakładając oczywiście, że sprzęt sieciowy może korzystać z portów. To, co znajdziesz, może być diagnostyczne lub nie, ale przynajmniej jest to informacja. Otrzymywanie nietypowego ruchu będzie mocnym dowodem na to, że system jest nadal zhakowany i wymaga naprawy. To może wystarczyć, aby przekonać TPTB, że ponowne formatowanie jest naprawdę warte przestoju.
W przeciwnym razie weź kopię dd partycji systemowych i zamontuj je na innym komputerze. Zacznij porównywać zawartość z serwerem na tym samym poziomie poprawek, co ten zepsuty. Powinno to pomóc w określeniu, co wygląda inaczej (ponownie te sumy md5) i może wskazywać brakujące obszary na zaatakowanym serwerze. Iterowanie po katalogach i plikach binarnych jest DUŻO i będzie dość czasochłonne. Może to być nawet bardziej czasochłonne niż ponowne formatowanie/ponowne łączenie i być może jest to kolejna rzecz, w której TPTB może faktycznie przeprowadzić ponowne formatowanie, którego naprawdę potrzebuje.
Anonimowy użytkownik
Potwierdzenie od:
Jednak odpowiedzi z różnych plakatów różnią się - niektóre z nich są na wyższym poziomie i mówią o tym, jakie procedury należy zastosować (ogólnie).
Wolałbym podzielić to na kilka oddzielnych części 1) Sortowanie, znane również jako Jak postępować z klientami i implikacjami prawnymi, i określić, co dalej robić (bardzo dobrze wymienione przez Roberta i @blueben 2) Ograniczanie wpływu 3) Reakcja na incydenty 4) Badanie patologiczne 5) Elementy korekcyjne i zmiany w architekturze
(Wstaw tutaj standardową odpowiedź z certyfikatem SANS GSC) Na podstawie wcześniejszych doświadczeń powiedziałbym tak:
Bez względu na to, jak radzisz sobie z odpowiedziami klientów, powiadomieniami, kwestiami prawnymi i planami na przyszłość, wolę skupić się na podstawowym problemie. Pierwotne pytanie OP tak naprawdę odnosi się bezpośrednio tylko do # 2 i # 3, czyli jak powstrzymać atak, jak najszybciej uruchomić klientów online w ich pierwotnym stanie, który jest szczegółowo opisany w odpowiedziach.
Pozostałe odpowiedzi są świetne i obejmują wiele zidentyfikowanych najlepszych praktyk oraz sposoby zapobiegania przyszłym podobieństwom i skuteczniejszego reagowania.
To naprawdę zależy od budżetu PE i branży, w której działają, jakie jest pożądane rozwiązanie itp.
Może muszą lokalnie zatrudnić dedykowanego SA. Może potrzebują strażnika. A może potrzebują w pełni zarządzanego rozwiązania, takiego jak Firehost lub Rackspace Managed, Softlayer, ServePath itp.
To naprawdę zależy od tego, co działa na ich firmę. Może ich podstawową kompetencją nie jest zarządzanie serwerami i nie ma sensu, aby próbowali je rozwijać. A może są już dość techniczną organizacją i mogą podejmować właściwe decyzje dotyczące zatrudniania i zatrudniać oddany pełnoetatowy zespół.
Anonimowy użytkownik
Potwierdzenie od:
Wydawało się, że wszystkie złośliwe pliki znajdują się w folderze/images/w niektórych naszych starych witrynach zencart. Wyglądało na to, że istniała luka w zabezpieczeniach, która pozwalała (z curl) każdemu idiocie na przesyłanie obrazów innych niż obrazy do sekcji przesyłania obrazów w sekcji administracyjnej. Usunęliśmy obraźliwe pliki .php i naprawiliśmy skrypty przesyłania, które nie zezwalały na przesyłanie żadnych plików innych niż obrazy.
Z perspektywy czasu było to całkiem łatwe i poruszyłem to na moim iPhonie w drodze do pracy. Dzięki za pomoc.
W celach informacyjnych dla każdego, kto odwiedzi ten post w przyszłości. będę
nie
Zalecam odłączenie wtyczki.
Anonimowy użytkownik
Potwierdzenie od:
Działania nietechniczne:
>
Anonimowy użytkownik
Potwierdzenie od:
Ta linijka wyświetla wszystkie pliki posortowane według ctime:
Dlatego jeśli znasz w przybliżeniu czas pęknięcia, możesz zobaczyć, które pliki zostały zmodyfikowane lub utworzone.
Anonimowy użytkownik
Potwierdzenie od:
Jeśli cenisz swoją pracę, lepiej mieć plan i regularnie go korygować.
Brak planowania oznacza planowanie awarii, a dotyczy to tylko bezpieczeństwa systemu. gdy
& < edytowano & >
zadziwia fana, lepiej bądź przygotowany, aby sobie z tym poradzić.
Jest jeszcze jedno (nieco banalne) powiedzenie, które ma tutaj zastosowanie:
Lepiej jest zapobiegać niż leczyć
.
Przedstawiono tutaj szereg wskazówek, aby sprowadzić ekspertów do audytu istniejących systemów. Myślę, że zadaję to pytanie w złym momencie. To pytanie należało zadać, gdy system został wdrożony, a odpowiedzi zostały udokumentowane. Ponadto pytanie nie powinno brzmieć: „Jak możemy zapobiec infiltracji przez ludzi?” Powinno brzmieć: „Dlaczego ludzie mieliby w ogóle móc hakować?” Inspekcja wielu dziur w sieci będzie działać tylko do momentu wykrycia i wykorzystania nowych dziur. Z drugiej strony sieci zaprojektowane od podstaw tak, aby reagować tylko w określony sposób na określone systemy w starannie zaplanowanym tańcu, w ogóle nie skorzystają na audycie, a fundusze zostaną zmarnowane.
Przed podłączeniem systemu do Internetu zadaj sobie pytanie - czy powinien być w pełni połączony z Internetem? Jeśli nie, nie rób tego. Rozważ umieszczenie go za zaporą ogniową, aby móc zdecydować, co widzi internet. Jeszcze lepiej, jeśli wspomniana zapora ogniowa umożliwia przechwytywanie transmisji (przez odwrotne proxy lub jakiś rodzaj filtru typu end-to-end), rozważ użycie jej do zezwalania tylko na legalne działania.
Zrobiono to - gdzieś jest (lub była) konfiguracja bankowości internetowej z proxy równoważenia obciążenia, które idzie do Internetu, którego zamierzali użyć do ataków wektorowych poza pulą serwerów. Ekspert ds. Bezpieczeństwa Markus Ranum przekonał ich do przeciwnego podejścia,
używanie zwrotnego proxy do przekazywania tylko znanych prawidłowych adresów URL i wysyłania wszystkiego innego na serwer 404
http://web.archive.org/web/201 ... ml... Zaskakująco dobrze przetrwał próbę czasu.
System lub sieć oparte na domyślnej rozdzielczości są skazane na niepowodzenie, jeśli nastąpi atak, którego nie przewidziałeś. Domyślny zakaz zapewnia znacznie większą kontrolę nad tym, co jest w środku, a co nie, ponieważ nie pozwolisz, aby coś wewnątrz było widoczne z zewnątrz.
jeśli jest cholernie dobre, to nie powinno
.
Jednak nic z tego nie jest powodem do samozadowolenia. Nadal powinieneś mieć plan na pierwsze kilka godzin po naruszeniu. Nie ma idealnego systemu i ludzie popełniają błędy.