मेरा लिनक्स सर्वर हैक हो गया था। मुझे कैसे पता चलेगा कि यह कैसे और कब किया गया था?


11

मेरे पास एक डेस्कटॉप सर्वर एक डेस्कटॉप ubuntu वितरण चल रहा है। मुझे यह मेरे कॉट्रैब में मिला

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

और जब उस निर्देशिका (उपयोगकर्ता नाम के बाद का स्थान / एक निर्देशिका का नाम है) को देख रहा हूं, तो मुझे बहुत सी स्क्रिप्ट मिलीं जो स्पष्ट रूप से कुछ ऐसा कर रही हैं जो उन्हें नहीं करना चाहिए।

इससे पहले कि मैं उस कंप्यूटर को मिटा दूं और सामान को फिर से स्थापित करूं, मैं यह पता लगाना चाहूंगा कि सुरक्षा भंग का कारण क्या था और यह कब किया गया था। इसलिए मैं फिर से वही छेद नहीं खोलता।

मुझे कौन सी लॉग फाइल देखनी चाहिए? केवल सर्वर जो मुझे पता है कि कंप्यूटर पर चल रहा है sshd और lighttpd है।

अगर इस तरह की चीजें दोबारा होती हैं तो मुझे क्या करना चाहिए?


@Person जो एसयू को स्थानांतरित करने के लिए मतदान किया था: आपको कैसे लगता है कि वायरस / हैकिंग फोरेंसिक सुपर उपयोगकर्ता की तुलना में अधिक फ़ेसबुक से संबंधित है ??
क्रिस एस

3
मुझे यह सुनकर खुशी हुई कि योजना कंप्यूटर को पोंछने और सामान को फिर से स्थापित करने के लिए है। यह बिल्कुल सही बात है कि आप क्या पाते हैं, कोई बात नहीं, क्योंकि वहाँ हमेशा एक अच्छा मौका है कुछ बदतर है जो आपको नहीं मिला।
14

हाँ वास्तव में आईटी सुरक्षा (करने के लिए ले जाने के लिए वोट चाहिए security.stackexchange.com ), नहीं SU या serverfault!
रोरी अलसोप

जवाबों:


4

सबसे पहले, सुनिश्चित करें कि कंप्यूटर किसी भी नेटवर्क से डिस्कनेक्ट हो गया है।
दूसरा, सुनिश्चित करें कि आप हैक किए गए ओएस को फिर से बूट करने से पहले ड्राइव से कोई महत्वपूर्ण डेटा प्राप्त करें।

सवाल में फाइलों पर समय टिकटों की जाँच के साथ शुरू करो। अक्सर वे सटीक होते हैं।
यदि वे मिटाए नहीं गए थे, तो httpd लॉग और ऑर्टिकल लॉग के साथ क्रॉस संदर्भ। यदि एक दूसरे को मिटा दिया गया था, तो आप शर्त लगा सकते हैं कि प्रवेश का साधन था। यदि वे अभी भी चातुर्य में हैं, तो हो सकता है कि आप लॉग से कैसे प्राप्त करें, इस बारे में अधिक जानकारी प्राप्त कर सकें।

यदि वे सभी मिटा दिए गए हैं, तो आप बहुत खराब हैं। यह संभवतः यह पता लगाने में अधिक समय लेगा कि इसके लायक क्या हुआ।

आपने उन दो सेवाओं का उल्लेख किया था, क्या बाकी सब चीजों को एक्सेस करने से रोकने के लिए एक अच्छा फ़ायरवॉल था? क्या आपने पोर्ट 22 पर एसएसएच की अनुमति दी थी; क्या आपका लॉगिन अनुमान लगाने में आसान है; क्या आपने पासवर्ड लॉगिन की अनुमति दी थी; क्या आपके पास पासवर्ड लॉगिन के लिए किसी भी प्रकार की वास्तविक दर सीमित है? क्या आपके पास लाइटटैप के साथ कोई अतिरिक्त सॉफ़्टवेयर स्थापित है; पर्ल; php; cgi; एक सीएमएस या समान? क्या आप सभी सॉफ्टवेयर का अपडेटेड वर्जन चला रहे थे; क्या आप अपने द्वारा चलाए जा रहे सभी सॉफ़्टवेयरों के लिए सुरक्षा सूचनाओं की सदस्यता लेते हैं और सभी सूचनाओं का ध्यानपूर्वक मूल्यांकन करते हैं कि क्या वे आपके द्वारा चलाए गए सॉफ़्टवेयर पर लागू होती हैं / जनता के सामने आती हैं?


स्थापना एक मानक उबंटू डेस्कटॉप संस्करण 10.x था, विशेष रूप से सुरक्षा के लिए कुछ भी नहीं किया गया था। मुझे लगता है कि डिफ़ॉल्ट रूप से एक अच्छा पर्याप्त फ़ायरवॉल था। क्या यह सही नहीं है? मैंने पोर्ट 22 पर पासवर्ड लॉगिन की अनुमति दी थी, लेकिन पासवर्ड यादृच्छिक 8 वर्ण स्ट्रिंग था। काफी अच्छा होना चाहिए?
जोनाथन कैलस

मेरा मानना ​​है कि डिफ़ॉल्ट फ़ायरवॉल "वाइड ओपन - नो फ़ायरवॉल" है। जब तक आप इसे ध्यान से कॉन्फ़िगर नहीं करते, यह कुछ भी नहीं कर रहा है।
क्रिस एस

सवाल यह है कि आप फ़ायरवॉल की तुलना में अधिक क्या सेवा चला रहे थे। जब तक विशेष आईपी के उपयोग के लिए फ़ायरवॉल सेट नहीं किया जाता है, तब तक सबसे अच्छा फ़ायरवॉल पहली जगह पर अनावश्यक सेवाएँ नहीं चलाना है। और आपका नेटवर्क सेटअप क्या था? इंटरनेट के लिए खुला है? एक निजी नेटवर्क के अंदर? क्या आपके पास उस बिंदु पर फ़ायरवॉल नहीं था जहाँ आपका आंतरिक नेटवर्क इंटरनेट में गया था, या आपका सर्वर DMZ में था?
बार्ट सिल्वरस्ट्रिम

सर्वर सीधे इंटरनेट से जुड़ा था। मैंने इसे राउटर के रूप में भी इस्तेमाल किया। यदि डिफ़ॉल्ट फ़ायरवॉल व्यापक रूप से खुला है, तो मुझे लगता है कि मेरे पास इस बारे में पर्याप्त
स्पष्टीकरण है

4

यह अपने आप में एक विषय है; अधिक जानकारी के लिए आप लिनक्स फोरेंसिक के लिए गूगल कर सकते हैं। मूल रूप से आपको पहले ऑफ़लाइन विश्लेषण के लिए अपने ड्राइव की एक छवि बनानी होगी, फिर कंप्यूटर को पोंछकर क्लीन स्लेट से इंस्टॉल करना होगा।

और सारी घटना याद है। कंप्यूटर का उपयोग करने वाला कोई भी व्यक्ति अपने पासवर्ड से समझौता कर सकता था। पासवर्ड बदलें, इसे ऑफ़लाइन रखें, आदि जब तक कि आप इसे "क्लीन रूम" (पृथक वीएम) में प्राप्त न करें।

अन्यथा यह बहुत सारे लॉग की जाँच (जो कि फीका हो सकता है) और आपके एप्लिकेशन (php स्क्रिप्ट्स की जाँच कर रहा है? डेटाबेस? नवीनतम फ़िक्सेस के लिए अद्यतन? अन्य उपयोगकर्ता पासवर्ड दे रहा है?)

आपके प्रश्न का उत्तर देने का कोई आसान तरीका नहीं है क्योंकि आपको सर्वर पर फोरेंसिक काम करने और छेदों की जांच करने की आवश्यकता होगी। आप कुछ स्वचालित साधनों का उपयोग कर सकते हैं, लेकिन ध्यान रखें यदि हमलावर के पास रूट है तो आप सिस्टम बायनेरिज़ पर भरोसा नहीं कर सकते हैं, और आप लॉग पर भरोसा नहीं कर सकते।

भविष्य के हमलों के लिए, आप इसे कितना सुरक्षित बनाना चाहते हैं, इसके आधार पर, आप अपने लॉग को एक सिस्टम पर पुनर्निर्देशित करके शुरू कर सकते हैं जो कि सिस्टम लॉग को बचाने के लिए उपयोग किया जाता है। कोई अन्य पहुंच नहीं, हमले के निशान को कम करने के लिए।

आप अपनी फ़ाइलों की अखंडता की जांच करने के लिए ट्रिपवायर की तरह अपने सिस्टम पर चेकसम सॉफ्टवेयर चलाएंगे।

और निश्चित रूप से अपडेट के साथ अद्यतित रहें और स्कैनिंग सॉफ़्टवेयर चलाएं जो रूटकिट्स के लिए जांचते हैं।

फिर से, सुरक्षा एक फेंक-स्विच चीज नहीं है। यह अपने आप में एक विशेषता भी हो सकती है। लेयर्ड सुरक्षा मेजबानों / आईपी के लिए कड़ी हो सकती है, जो आपके नेटवर्क पर नहीं है, सिस्टम तक सभी पहुंच को एन्क्रिप्ट कर रहा है, आपके द्वारा भेजे गए परिवर्तनों के दैनिक लॉग आपके पास भेज रहा है, और आपके नेटवर्क पर एक हनीपॉट सेट कर रहा है। अजीब गतिविधि के लिए देखें (मेरा सर्वर हनीपोट कंप्यूटर पर पोर्ट 25 से कनेक्ट करने की कोशिश क्यों कर रहा है?)

सबसे पहले और सबसे महत्वपूर्ण अगर आप गतिविधि की जांच करना चाहते हैं, तो डिस्क छवि प्राप्त करें और सर्वर सॉफ़्टवेयर को पुनर्स्थापित करें। शुरुवात से। सर्वर के बायनेरिज़ पर अब भरोसा नहीं किया जा सकता है।

EDIT - SSH को चलाने के बाद से मेरे साथ होने वाली कुछ अन्य चीजें - denyhosts इंस्टॉल करें। इसे कॉन्फ़िगर किया जा सकता है ताकि एसएसएचडी पर आपके सिस्टम के खिलाफ स्वचालित हमले एक्स के प्रयासों की संख्या के बाद लॉक हो जाएंगे। इसे स्वचालित मेलों को कम करने में मदद करने के लिए लॉक किए गए आईपी को साझा करने के लिए "क्लाउड" में अन्य डेनिस्ट सर्वर से अपडेट करने के लिए भी कॉन्फ़िगर किया जा सकता है। आप उस पोर्ट को भी स्थानांतरित कर सकते हैं जिस पर वह सुन रहा है; कई लोग बताते हैं कि यह केवल अस्पष्टता के माध्यम से सुरक्षा है, लेकिन बॉट स्कैनिंग की संख्या को देखते हुए, यह अंदर तोड़ने के यादृच्छिक प्रयासों पर काफी कटौती करता है।


धन्यवाद! आपने वास्तव में प्रत्येक प्रश्न का आधा उत्तर दिया, काश मैं दोनों को स्वीकृत उत्तर के रूप में चिह्नित कर सकता।
जोनाथन कैलस
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.