कैसे करें सर्वर हैक का पोस्टमार्टम


29

मेरे पास IIS6, SQL Server 2005, MySQL 5 और PHP 4.3 के साथ एक Windows Server 2003 SP2 मशीन है। यह एक उत्पादन मशीन नहीं है, लेकिन यह एक डोमेन नाम के माध्यम से दुनिया के संपर्क में है। रिमोट डेस्कटॉप मशीन पर सक्षम है और दो व्यवस्थापक खाते इस पर सक्रिय हैं।

आज सुबह मैंने पाया कि लॉगिन टेक्स्ट बॉक्स में अभी भी एक uknown उपयोगकर्ता के नाम के साथ मशीन को लॉग ऑफ किया गया था। आगे की जांच में मैंने पाया है कि दो विंडोज़ उपयोगकर्ता बनाए गए हैं, एंटी-वायरस को अनइंस्टॉल कर दिया गया है और। Exe फ़ाइलों की एक smattering को C: ड्राइव में गिरा दिया गया है।

मैं यह जानना चाहता हूं कि मुझे यह सुनिश्चित करने के लिए क्या कदम उठाने चाहिए कि यह फिर से न हो और मुझे प्रवेश के अवसर का निर्धारण करने के लिए किन क्षेत्रों पर ध्यान केंद्रित करना चाहिए। मैंने पहले ही netstat -a की जाँच कर ली है कि कौन से पोर्ट खुले हैं, और वहाँ कुछ भी अजीब नहीं है। मुझे MySQL के लिए डेटा फ़ोल्डर में अज्ञात फाइलें मिलीं जो मैं सोच रहा हूं कि प्रवेश बिंदु हो सकता है लेकिन मुझे यकीन नहीं है।

मैं वास्तव में एक सर्वर हैक का एक अच्छा पोस्टमार्टम करने के लिए कदमों की सराहना करता हूं ताकि भविष्य में मैं इससे बच सकूं।

पोस्ट इन्वेस्टिगेशन रिव्यू

कुछ जांच के बाद मुझे लगता है कि मुझे पता चला कि क्या हुआ। पहली मशीन अगस्त '08 से अक्टूबर '09 के समय सीमा के दौरान ऑनलाइन नहीं हुई है। उस समय सीमा के दौरान एक सुरक्षा भेद्यता का पता चला था, MS08-067 भेद्यता । "यह एक दूरस्थ कोड निष्पादन भेद्यता है। एक हमलावर जिसने सफलतापूर्वक इस भेद्यता का शोषण किया था, वह दूर से एक प्रभावित का पूरा नियंत्रण ले सकता है। Microsoft Windows 2000-आधारित, Windows XP- आधारित और Windows Server 2003-आधारित सिस्टम पर, एक हमलावर शोषण कर सकता है। प्रमाणीकरण के बिना RPC पर यह भेद्यता और मनमाना कोड चला सकती है। " अक्टूबर 2008 में KB958644 सिक्योरिटी अपडेट के साथ यह वल्नरेबिलिटी तय की गई थी।

क्योंकि मशीन उस समय ऑफ़लाइन थी और इस अपडेट से चूक गई, मेरा मानना ​​है कि '09 के अक्टूबर में मशीन के ऑनलाइन वापस आने के तुरंत बाद इस भेद्यता का फायदा उठाया गया। मुझे एक bycnboy.exe प्रोग्राम के संदर्भ मिले जो कि पिछले दरवाजे प्रोग्राम के रूप में वर्णित किया गया है जो तब एक संक्रमित प्रणाली पर बहुत कहर पैदा करता है। मशीन ऑनलाइन होने के तुरंत बाद, स्वचालित अपडेट ने पैच स्थापित किया जो सिस्टम के रिमोट कंट्रोल की क्षमता को बंद कर देता है। क्योंकि पिछले दरवाजे को अब बंद कर दिया गया था, मेरा मानना ​​है कि फिर हमलावर ने मशीन पर भौतिक खाते बनाए और मशीन का उपयोग एक और सप्ताह तक करने में सक्षम था जब तक कि मैंने देखा कि क्या हो रहा था।

आक्रामक रूप से दुर्भावनापूर्ण कोड, .exes और .dll को शुद्ध करने के बाद, स्वयं होस्टिंग वेबसाइटों और उपयोगकर्ता खातों को हटाकर, मशीन अब फिर से काम कर रही है। निकट भविष्य के लिए मैं सिस्टम की निगरानी करूंगा और यह निर्धारित करने के लिए सर्वर लॉग की समीक्षा करूंगा कि क्या घटना की पुनरावृत्ति हो रही है।

उपलब्ध कराई गई जानकारी और चरणों के लिए धन्यवाद।

जवाबों:


28

पोस्टमार्टम करना अपने आप में एक काली कला है। यह हर बार थोड़ा अलग होता है क्योंकि वास्तव में कोई दो ब्रेक-इन समान नहीं होते हैं। ध्यान में रखते हुए, मेरी अनुशंसित प्रक्रिया का एक मूल अवलोकन नीचे दिया गया है, जिसमें आपकी स्थिति के लिए कुछ विशिष्ट नोट्स हैं:

  1. मशीन को नेटवर्क से डिस्कनेक्ट करें। (वास्तव में। अब इसे करो।)
  2. वैकल्पिक चरण: भविष्य के उपयोग के लिए हार्ड ड्राइव की एक बाइनरी इमेज कॉपी बनाएं।
  3. हटाने योग्य हार्ड ड्राइव पर सभी लॉग फ़ाइलों, मूल्यवान डेटा आदि की एक प्रति बनाएँ
    • वैकल्पिक रूप से किसी भी "हैकर टूल" को कॉपी करें जो आप भी पाते हैं
  4. वास्तविक पोस्टमार्टम शुरू करें। आपके मामले में:
    • किसी भी नए या लापता उपयोगकर्ता खाते पर ध्यान दें। देखें कि क्या उनके होम फोल्डर में कोई "रोचक" सामग्री है।
    • किसी भी नए या लापता प्रोग्राम / बायनेरिज़ / डेटा फ़ाइलों को नोट करें।
    • पहले MySQL लॉग की जाँच करें - "असामान्य" कुछ भी देखें
    • बाकी सर्वर लॉग की जाँच करें। यह देखें कि क्या आप नए उपयोगकर्ताओं को बनाया जा सकता है, उनके द्वारा लॉग इन किए गए पते आदि।
    • डेटा क्षति या चोरी के सबूत के लिए देखें
  5. जब आप समस्या का कारण ढूंढते हैं, तो ध्यान दें कि इसे फिर से कैसे रखा जाए।
  6. सर्वर को साफ करें: अपना डेटा फॉर्मेट करें और सब कुछ पुनर्स्थापित करें, अपने डेटा को पुनर्स्थापित करें और # 5 से अपने नोट्स के साथ मूल छेद को प्लग करें।

यदि आप कानून प्रवर्तन में शामिल होने जा रहे हैं तो आप आमतौर पर चरण 2 का प्रदर्शन करते हैं। आप चरण 3 का प्रदर्शन करते हैं, ताकि सर्वर द्वारा चरण 2 में आपके द्वारा बनाई गई छवि प्रति को पढ़ने के बिना सर्वर को फिर से बनाने के बाद आप जानकारी की समीक्षा कर सकें।

चरण 4 विस्तृत कैसे हो जाता है यह आपके लक्ष्यों पर निर्भर करता है: बस छेद को नीचे रखना ट्रैकिंग से अलग तरह की जांच है, जिसने डेटा के कुछ मूल्यवान को चुरा लिया है :)

चरण 6 IMHO महत्वपूर्ण है। आप एक समझौता किए गए मेजबान को "ठीक" नहीं करते हैं: आप इसे मिटा देते हैं और एक ज्ञात अच्छे राज्य से शुरू करते हैं। यह सुनिश्चित करता है कि आप समय बम के रूप में बॉक्स पर बचे हुए गंदा के कुछ डली को याद नहीं करेंगे।

यह पूरी तरह से पोस्टमार्टम की रूपरेखा से कोई मतलब नहीं है। मैं इसे समुदाय विकी के रूप में चिह्नित कर रहा हूं क्योंकि मैं हमेशा प्रक्रिया में सुधार की तलाश कर रहा हूं - मैं इसका अक्सर उपयोग नहीं करता हूं :-)


3
मुझे ऐसा कुछ करने का कोई अनुभव नहीं है, लेकिन सुरक्षा बंदर की सलाह यदि आप जांच के लिए एक मशीन की छवि बनाने जा रहे हैं, तो पावर कॉर्ड खींचना है, हार्ड ड्राइव की छवि बनाना है, फिर जांच शुरू करें। (सुरक्षा बंदर: it.toolbox.com/blogs/securitymonkey )
MattB

1
सुरक्षा बंदर पर मर चुका है - जब आप छवि पर जाते हैं, तो आप मशीन को ठंडा करना चाहते हैं (पावर कॉर्ड को yank)। शटडाउन और / या स्टार्टअप आत्म विनाश या सफाई कोड यात्रा कर सकता है और पावर को नियंत्रित करने से पहले आपको अपनी छवि बनाने से रोकता है।
voretaq7

2
इसके अलावा - मैं कहूंगा कि आपको हैक किए गए सिस्टम जैसे "netstat (या dir, इत्यादि) पर कमांड्स" में निर्मित के परिणामों पर भरोसा नहीं करना चाहिए। फिर, मुझे उद्यम स्तर पर इसके साथ कोई प्रत्यक्ष अनुभव नहीं है, लेकिन मुझे याद है कि हैक होना व्यक्तिगत मशीनों पर जहां हैक का हिस्सा बनाया गया था उपकरण को मुखौटा बनाने के लिए जो वास्तव में चल रहा था।
मैटबैन

4
+1 चरण 6 महत्वपूर्ण है, आपको नहीं पता कि नेटस्टैट वास्तविक नेटवर्क ट्रैफ़िक का विश्लेषण किए बिना आपको सच्चाई दिखा रहा है या नहीं - और यह अपने आप में काफी जटिल और धैर्य की परीक्षा हो सकती है ... इसलिए, इसे मिटा दें। यह अब आपका बक्सा नहीं है। उस छवि का विश्लेषण करें जो आप चाहते हैं, लेकिन लानत मशीन को मिटा दें;)
ऑस्कर डुवॉर्न

1
मैं कहूंगा कि आप शायद हर बार # 2 कदम उठाने से बेहतर हैं, क्योंकि आप पूरी तरह से सुनिश्चित नहीं हैं कि आप अपनी जांच के दौरान क्या पाएंगे। बाइनरी इमेज होने का मतलब यह भी है कि आप अलग-अलग लोगों को अलग-अलग चीज़ों में देख सकते हैं, प्रत्येक कॉपी का उपयोग कर सकते हैं।
वेटिन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.