मैं एक समझौता किए गए सर्वर से कैसे निपटूं?


601

यह सर्वर सुरक्षा के बारे में एक कैनोनिकल प्रश्न है - ब्रीच इवेंट्स के जवाब (हैकिंग)
इसे भी देखें:

Canonical Version
मुझे संदेह है कि मेरे या एक से अधिक सर्वर हैकर, वायरस या अन्य तंत्र द्वारा समझौता किए जाते हैं:

  • मेरे पहले कदम क्या हैं? जब मैं साइट पर आता हूं तो मुझे सर्वर को डिस्कनेक्ट करना चाहिए, "सबूत" को संरक्षित करना चाहिए, क्या अन्य प्रारंभिक विचार हैं?
  • मैं ऑनलाइन सेवाएं वापस कैसे प्राप्त करूं?
  • मैं एक ही चीज़ को तुरंत दोबारा होने से कैसे रोकूँ?
  • क्या इस घटना से सीखने के लिए सर्वोत्तम अभ्यास या पद्धति हैं?
  • अगर मैं एक हादसा प्रतिक्रिया योजना को एक साथ रखना चाहता हूं, तो मैं कहां से शुरू करूंगा? क्या यह मेरी आपदा वसूली या व्यवसाय निरंतरता योजना का हिस्सा होना चाहिए?

मूल संस्करण

2011.01.02 - मैं रविवार को रात 9.30 बजे काम पर जा रहा हूं क्योंकि हमारे सर्वर ने किसी तरह समझौता किया है और परिणामस्वरूप हमारे प्रदाता पर डीओएस हमला हुआ। इंटरनेट तक पहुंचने वाले सर्वर बंद हो गए हैं, जिसका मतलब है कि हमारे ग्राहकों की 5-600 से अधिक साइटें अब डाउन हो गई हैं। अब यह एक एफ़टीपी हैक या कोड में कुछ कमजोरी हो सकती है। मुझे वहां पहुंचने तक यकीन नहीं हुआ।

मैं इसे जल्दी कैसे ट्रैक कर सकता हूं? अगर मुझे सर्वर का ASAP बैकअप नहीं मिलता है तो हम पूरे मुकदमेबाजी के लिए हैं। किसी भी मदद की सराहना की है। हम ओपन SUSE 11.0 चला रहे हैं।


2011.01.03 - आपकी मदद के लिए सभी का धन्यवाद। सौभाग्य से मैं इस सर्वर के लिए जिम्मेदार केवल वही व्यक्ति हूं, जो केवल निकटतम है। हम इस समस्या को हल करने में कामयाब रहे, हालांकि यह एक अलग स्थिति में कई अन्य लोगों के लिए लागू नहीं हो सकता है। हमने जो किया उसका विस्तार करूंगा।

हमने नेट से सर्वर को अनप्लग किया। यह इंडोनेशिया में एक अन्य सर्वर पर सेवा के हमले से इनकार करने (प्रदर्शन करने का प्रयास) कर रहा था और दोषी पक्ष भी वहां आधारित था।

हमने सबसे पहले यह जानने की कोशिश की कि सर्वर पर यह कहां से आ रहा है, यह देखते हुए कि सर्वर पर 500 से अधिक साइटें हैं, हमें कुछ समय के लिए चांदनी होने की उम्मीद थी। हालाँकि, SSH की पहुँच के साथ, हमने उन सभी फाइलों को खोजने के लिए एक कमांड चलाई, जो हमले शुरू होने के समय संपादित या बनाई गई थीं। सौभाग्य से, आपत्तिजनक फ़ाइल सर्दियों की छुट्टियों पर बनाई गई थी, जिसका मतलब था कि उस समय सर्वर पर कई अन्य फाइलें नहीं बनाई गई थीं।

हम तब एक अपमानजनक फ़ाइल की पहचान करने में सक्षम थे जो कि ZenCart वेबसाइट के भीतर अपलोड की गई छवि फ़ोल्डर के अंदर थी ।

एक छोटे से सिगरेट ब्रेक के बाद, हमने निष्कर्ष निकाला कि, फ़ाइलों के स्थान के कारण, इसे एक फ़ाइल अपलोड सुविधा के माध्यम से अपलोड किया गया होगा जो अपर्याप्त रूप से सुरक्षित था। कुछ गुगली करने के बाद, हमने पाया कि एक सुरक्षा भेद्यता थी जिसने रिकॉर्ड कंपनी के लिए एक तस्वीर के लिए ज़ेनकार्ट व्यवस्थापक पैनल के भीतर, फ़ाइलों को अपलोड करने की अनुमति दी थी। (वह खंड जिसका यह वास्तव में कभी भी उपयोग नहीं किया गया था), इस फॉर्म को पोस्ट करने से बस किसी भी फ़ाइल को अपलोड किया गया, उसने फ़ाइल के विस्तार की जांच नहीं की, और यह भी देखने के लिए कि उपयोगकर्ता लॉग इन था या नहीं।

इसका मतलब था कि किसी भी फाइल को अपलोड किया जा सकता है, जिसमें हमले के लिए एक PHP फाइल भी शामिल है। हमने संक्रमित साइट पर ज़ेनकार्ट के साथ भेद्यता हासिल की, और आपत्तिजनक फाइलों को हटा दिया।

काम हो गया था, और मैं 2 बजे के लिए घर गया था


मोरल - हमेशा ज़ेनकार्ट या उस मामले के लिए किसी अन्य सीएमएस प्रणाली के लिए सुरक्षा पैच लागू करें। जैसे ही सुरक्षा अद्यतन जारी किए जाते हैं, पूरी दुनिया को भेद्यता के बारे में पता चलता है। - हमेशा बैकअप करें, और अपने बैकअप का बैकअप लें। - किसी ऐसे व्यक्ति के लिए रोजगार या व्यवस्था करना जो उसके जैसे समय में होगा। किसी को भी सर्वर फाल्ट पर तवे पर भरोसा करने से रोकने के लिए।


7
मुझे पता है कि आप कैसा महसूस करते हैं - हम इस साइट पर "सहायक" हैकर्स के साथ बहुत भाग्यशाली रहे हैं, जहां उन्होंने हमें बताया कि उन्होंने क्या किया है! मैं इस प्रश्न के महान जवाबों की प्रतीक्षा कर रहा हूं, बस अगर हमें भविष्य में "नहीं-तो-मददगार" मेहमान मिलें।
जारोड डिक्सन

186
मदद करने के लिए एक पेशेवर को बुलाओ!
marcog

103
मैं स्मार्ट-अस्सिट या असंगत (मैं न तो हूँ) ध्वनि नहीं करना चाहता, और निश्चित रूप से मैं आपकी स्थिति के विवरण से अनभिज्ञ हूं, लेकिन यदि आप केवल 500-600 साइट सेटअप के लिए जिम्मेदार व्यक्ति हैं, तो हो सकता है यह सर्वर कैसे चलाया जाता है, इसमें एक मूलभूत दोष है। कुछ कंपनियां एक समर्पित sysadmin को नियुक्त करती हैं जो पूरे दिन कुछ और नहीं करता है, लेकिन सर्वर बनाए रखता है - एक कार्य जो प्रोग्रामर के दायरे में स्वचालित रूप से नहीं होता है, भले ही यह उस तरह से लग सकता है। हो सकता है कि जब संकट खत्म हो जाए, तो यह विचार करने लायक हो। वैसे भी, इस समय स्थिति को हल करने में भाग्य का सबसे अच्छा।
पेक्का

जरूरी नहीं कि मान लें कि आपके पास एक पूर्ण विकसित कर्नेल रूट किट है और आपके रूट पासवर्ड से छेड़छाड़ की गई है। इसके संभवतः सिर्फ एक डरपोक बैश / पर्ल स्क्रिप्ट है, और यह क्या गाना बजानेवालों के बारे में यहाँ पर वीणा के बावजूद formating के बिना यह साफ करने के लिए संभव है ... serverfault.com/questions/639699/...
हेडन थ्रिंग

जवाबों:


1015

आपने जो यहां पोस्ट किया है, उससे विशिष्ट सलाह देना मुश्किल है, लेकिन मेरे पास कुछ ऐसी जेनेरिक सलाह हैं जो मैंने आज से एक साल पहले लिखी थीं, जब मैं अभी भी ब्लॉग पर परेशान हो सकता था।

दहशत नहीं

पहली चीजें पहले, घुसपैठ से पहले उठाए गए बैकअप से आपके सिस्टम को पुनर्स्थापित करने के अलावा कोई "त्वरित सुधार" नहीं हैं, और इसमें कम से कम दो समस्याएं हैं।

  1. घुसपैठ कब हुई, यह इंगित करना मुश्किल है।
  2. यह आपको "छेद" को बंद करने में मदद नहीं करता है जो उन्हें अंतिम समय में तोड़ने की अनुमति देता है, न ही किसी भी "डेटा चोरी" के परिणामों से निपट सकता है जो हो सकता है।

हैकर्स के पीड़ितों द्वारा उनके वेब सर्वर में सेंध लगाने से यह सवाल बार-बार पूछा जा रहा है। जवाब बहुत कम ही बदलते हैं, लेकिन लोग सवाल पूछते रहते हैं। मुझे यकीन नहीं है कि क्यों। शायद लोग सिर्फ उन उत्तरों को पसंद नहीं करते हैं जो उन्होंने मदद के लिए खोजे हैं, या वे किसी ऐसे व्यक्ति को नहीं खोज सकते हैं जिस पर वे उन्हें सलाह देने के लिए भरोसा करते हैं। या शायद लोग इस सवाल का जवाब पढ़ते हैं और 5% पर ध्यान केंद्रित करते हैं कि उनका मामला विशेष क्यों है और उन उत्तरों से अलग है जो वे ऑनलाइन पा सकते हैं और 95% प्रश्न और उत्तर को याद कर सकते हैं जहां उनका मामला पर्याप्त पास है जैसा कि वे ऑनलाइन पढ़ते हैं।

यह मुझे सूचना की पहली महत्वपूर्ण डली में लाता है। मैं वास्तव में सराहना करता हूं कि आप एक विशेष अद्वितीय स्नोफ्लेक हैं। मैं सराहना करता हूं कि आपकी वेबसाइट बहुत अधिक है, क्योंकि यह आपके और आपके व्यवसाय का प्रतिबिंब है या बहुत कम से कम, एक नियोक्ता की ओर से आपकी मेहनत। लेकिन बाहर की ओर देखने वाले किसी व्यक्ति के लिए, चाहे वह कंप्यूटर सुरक्षा वाला व्यक्ति आप पर हमला करने में मदद करने के लिए या यहां तक ​​कि खुद हमलावर की समस्या को देख रहा हो, यह बहुत संभावना है कि आपकी समस्या हर दूसरे मामले में कम से कम 95% के समान होगी। कभी देखा।

हमले को व्यक्तिगत रूप से न लें, और उन सिफारिशों को न लें जो आपके यहाँ हैं या जो आपको अन्य लोगों से व्यक्तिगत रूप से मिलती हैं। यदि आप वेबसाइट हैक के शिकार बनने के बाद इसे पढ़ रहे हैं तो मुझे वास्तव में खेद है, और मुझे वास्तव में आशा है कि आपको यहां कुछ उपयोगी मिल सकता है, लेकिन यह समय आपके अहंकार को उस रास्ते पर आने का नहीं है जो आपको चाहिए। करना।

आपको अभी पता चला है कि आपका सर्वर हैक हो गया है। अब क्या?

घबराओ मत। बिल्कुल जल्दबाजी में काम नहीं करते हैं, और पूरी कोशिश नहीं करते हैं और दिखावा करते हैं कि चीजें कभी नहीं हुईं और बिल्कुल भी अभिनय नहीं किया।

पहला: समझ लें कि आपदा पहले ही हो चुकी है। यह इनकार का समय नहीं है; यह उस समय को स्वीकार करने का समय है जो हुआ है, इसके बारे में यथार्थवादी होना और प्रभाव के परिणामों का प्रबंधन करने के लिए कदम उठाना।

इन चरणों में से कुछ को चोट पहुंचाने जा रहे हैं, और (जब तक कि आपकी वेबसाइट मेरे विवरण की एक प्रति नहीं रखती है) मैं वास्तव में परवाह नहीं करता हूं यदि आप इन सभी या कुछ चरणों की उपेक्षा करते हैं, तो यह आपके ऊपर है। लेकिन उनका ठीक से पालन करने से अंत में चीजें बेहतर होंगी। दवा का स्वाद भयानक हो सकता है, लेकिन कभी-कभी आपको यह भी अनदेखा करना पड़ता है कि क्या आप वास्तव में काम करना चाहते हैं।

समस्या को पहले से ही बदतर होने से रोकें:

  1. पहली चीज जो आपको करनी चाहिए वह इंटरनेट से प्रभावित सिस्टम को डिस्कनेक्ट करना है। आपको जो भी अन्य समस्याएं हैं, वे वेब से जुड़े सिस्टम को छोड़कर केवल हमले को जारी रखने की अनुमति देंगे। मेरा यह शाब्दिक अर्थ है; किसी को शारीरिक रूप से सर्वर और अनप्लग नेटवर्क केबलों को देखने के लिए प्राप्त करें यदि ऐसा होता है, लेकिन इससे पहले कि आप कुछ और करने की कोशिश करें, अपने शिकार से शिकार को डिस्कनेक्ट करें।
  2. सभी कंप्यूटरों पर सभी खातों के लिए अपने सभी पासवर्ड बदलें जो एक ही नेटवर्क पर हैं जो समझौता किए गए सिस्टम के समान हैं। सच में नहीं। सभी खाते हैं। सभी कंप्यूटर। हां, आप सही कह रहे हैं, यह ओवरकिल हो सकता है; दूसरी ओर, यह नहीं हो सकता है। आप किसी भी तरह से नहीं जानते, क्या आप?
  3. अपने अन्य सिस्टम की जाँच करें। अन्य इंटरनेट का सामना करने वाली सेवाओं पर और उन लोगों पर विशेष ध्यान दें जो वित्तीय या अन्य व्यावसायिक रूप से संवेदनशील डेटा रखते हैं।
  4. यदि सिस्टम किसी का व्यक्तिगत डेटा रखता है, तो तुरंत डेटा सुरक्षा के लिए जिम्मेदार व्यक्ति (यदि आप नहीं हैं) को सूचित करें और एक पूर्ण प्रकटीकरण का आग्रह करें। मैं जानता हूं कि यह कठिन है। मुझे पता है कि यह चोट करने वाला है। मुझे पता है कि कई व्यवसाय इस तरह की समस्या को कालीन के नीचे झाडू देना चाहते हैं, लेकिन व्यवसाय को इससे निपटना होगा - और किसी भी और सभी प्रासंगिक गोपनीयता कानूनों पर नजर रखने की जरूरत है।

हालाँकि, आपके ग्राहक नाराज हो सकते हैं कि आप उन्हें एक समस्या के बारे में बताएं, यदि आप उन्हें नहीं बताएंगे तो वे और अधिक नाराज हो जाएंगे, और वे केवल क्रेडिट कार्ड विवरणों का उपयोग करके $ 8,000 मूल्य के सामान का शुल्क लेने के बाद खुद के लिए पता लगाते हैं अपनी साइट से चुरा लिया।

याद रखें कि मैंने पहले क्या कहा था? बुरी बात पहले ही हो चुकी है। एकमात्र सवाल अब यह है कि आप इससे कैसे निपटते हैं।

समस्या को पूरी तरह से समझें:

  1. प्रभावित प्रणालियों को ऑनलाइन वापस न करें जब तक कि यह चरण पूरी तरह से पूरा नहीं हो जाता है, जब तक कि आप वह व्यक्ति नहीं बनना चाहते हैं जिसका पद मेरे लिए वास्तव में इस लेख को लिखने का निर्णय लेने वाला था। मैं उस पोस्ट से लिंक नहीं करने जा रहा हूं ताकि लोगों को सस्ती हंसी मिल सके, लेकिन असली त्रासदी तब है जब लोग अपनी गलतियों से सीखने में असफल हो जाते हैं।
  2. यह समझने के लिए कि 'हमले' सिस्टम की जाँच करें कि हमले आपकी सुरक्षा से समझौता करने में कैसे सफल हुए। यह पता लगाने के लिए हर संभव प्रयास करें कि हमले "कहां से आए", ताकि आप समझ सकें कि भविष्य में आपके सिस्टम को सुरक्षित बनाने के लिए आपको क्या समस्याएं हैं और इसका समाधान करने की आवश्यकता है।
  3. 'अटैक' सिस्टम को फिर से परखें, इस बार यह समझने के लिए कि हमले कहाँ गए, ताकि आप समझ सकें कि हमले में किन प्रणालियों से समझौता किया गया था। सुनिश्चित करें कि आप किसी भी संकेत का पालन करते हैं जो सुझाव देते हैं कि समझौता किए गए सिस्टम आपके सिस्टम पर आगे हमला करने के लिए एक स्प्रिंगबोर्ड बन सकते हैं।
  4. किसी भी और सभी हमलों में इस्तेमाल होने वाले "गेटवे" सुनिश्चित करें, ताकि आप उन्हें ठीक से बंद करना शुरू कर सकें। (उदाहरण के लिए, यदि आपके सिस्टम में SQL इंजेक्शन के हमले से समझौता किया गया है, तो न केवल आपको उस कोड की विशेष त्रुटिपूर्ण लाइन को बंद करने की आवश्यकता है, जिससे वे टूट गए हैं, आप अपने सभी कोड का ऑडिट करना चाहेंगे कि क्या उसी प्रकार की गलती हुई है। कहीं और बनाया गया था)।
  5. समझें कि एक से अधिक दोषों के कारण हमले सफल हो सकते हैं। अक्सर, हमले एक प्रणाली में एक प्रमुख बग को खोजने के माध्यम से सफल नहीं होते हैं, लेकिन एक प्रणाली से समझौता करने के लिए कई मुद्दों (कभी-कभी मामूली और खुद से मामूली) को एक साथ जोड़कर। उदाहरण के लिए, डेटाबेस सर्वर पर कमांड भेजने के लिए एसक्यूएल इंजेक्शन के हमलों का उपयोग करना, जिस वेबसाइट / एप्लिकेशन पर आप हमला कर रहे हैं, उसकी खोज करना एक प्रशासनिक उपयोगकर्ता के संदर्भ में चल रहा है और उस खाते के अधिकारों का उपयोग करना अन्य चरणों के साथ समझौता करने के लिए एक प्रणाली। या जैसा कि हैकर्स इसे कॉल करना पसंद करते हैं: "आम गलतियों का फायदा उठाते हुए कार्यालय में एक और दिन"।

केवल आपके द्वारा किए गए शोषण या रूटकिट को "सुधार" क्यों नहीं किया और सिस्टम को ऑनलाइन वापस रखा?

इस तरह की स्थितियों में समस्या यह है कि आपके पास उस प्रणाली का नियंत्रण नहीं है। यह आपका कंप्यूटर नहीं है।

एक ही रास्ता होने के लिए कुछ आप मिल गया है कि इस प्रणाली के नियंत्रण प्रणाली के पुनर्निर्माण के लिए है। जबकि सिस्टम में टूटने के लिए उपयोग किए गए शोषण को खोजने और ठीक करने में बहुत अधिक मूल्य है, आप यह सुनिश्चित नहीं कर सकते हैं कि घुसपैठियों के नियंत्रण प्राप्त करने के बाद सिस्टम के लिए और क्या किया गया है (वास्तव में, हैकर्स के लिए अनसुना नहीं जो भर्ती करते हैं सिस्टम ने अपने द्वारा उपयोग किए जाने वाले कारनामों को पैच करने के लिए, अपने "नए कंप्यूटर को अन्य हैकर्स से सुरक्षित करने के लिए और साथ ही साथ अपने रूटकिट को स्थापित करने के लिए एक बोटनेट में सिस्टम"।

पुनर्प्राप्ति के लिए एक योजना बनाएं और अपनी वेबसाइट को ऑनलाइन वापस लाएं और उससे चिपके रहें:

कोई भी इससे अधिक समय तक ऑफ़लाइन नहीं रहना चाहता है, जितना उसे होना है। वह दे दिया गया। यदि यह वेबसाइट राजस्व पैदा करने वाला तंत्र है तो इसे जल्दी से ऑनलाइन वापस लाने का दबाव तीव्र होगा। यहां तक ​​कि अगर दांव पर एकमात्र चीज आपकी / आपकी कंपनी की प्रतिष्ठा है, तो यह अभी भी चीजों को जल्दी से वापस लाने के लिए बहुत अधिक दबाव पैदा कर रहा है।

हालाँकि, बहुत जल्दी ऑनलाइन वापस जाने के प्रलोभन में न दें। इसके बजाय जितना संभव हो उतना समझने के लिए तेजी से आगे बढ़ें और समस्या को हल करने और इससे पहले कि आप ऑनलाइन वापस जाएं या फिर आप लगभग निश्चित रूप से एक बार फिर घुसपैठ का शिकार हो जाएंगे, और याद रखें, "एक बार हैक होने के लिए दुर्भाग्य के रूप में वर्गीकृत किया जा सकता है; फिर से सीधे हैक होने के लिए लापरवाह जैसा दिखता है "(ऑस्कर वाइल्ड के लिए माफी के साथ)।

  1. मैं मान रहा हूँ कि आपने उन सभी मुद्दों को समझ लिया है जिनके कारण आप इस खंड को शुरू करने से पहले पहली बार सफल घुसपैठ में सफल हुए थे। मैं मामले को खत्म नहीं करना चाहता, लेकिन अगर आपने ऐसा नहीं किया है, तो आपको वास्तव में करने की जरूरत है। माफ़ करना।
  2. कभी भी ब्लैकमेल / सुरक्षा के पैसे न दें। यह एक आसान निशान का संकेत है और आप नहीं चाहते कि यह वाक्यांश कभी आपका वर्णन करे।
  3. एक ही सर्वर (एस) को बिना पूर्ण पुनर्निर्माण के ऑनलाइन वापस करने का प्रलोभन न दें। पुराने बॉक्स पर एक नया बॉक्स बनाने या "सर्वर से nuke सर्वर को साफ करने और एक क्लीन इन्स्टॉल करने के लिए" यह जल्दी होना चाहिए, क्योंकि पुराने सिस्टम के हर एक कोने को ऑडिट करना होगा, यह सुनिश्चित करने के लिए कि इसे वापस डालने से पहले यह साफ हो। फिर से ऑनलाइन। यदि आप इससे सहमत नहीं हैं, तो आप शायद यह नहीं जानते कि सिस्टम को पूरी तरह से साफ करने का वास्तव में क्या मतलब है, या आपकी वेबसाइट परिनियोजन प्रक्रिया एक अपवित्र गड़बड़ है। आपके पास निश्चित रूप से आपकी साइट के बैकअप और परीक्षण परिनियोजन हैं, जिनका उपयोग आप केवल लाइव साइट बनाने के लिए कर सकते हैं, और यदि आप नहीं करते हैं तो हैक होना आपकी सबसे बड़ी समस्या नहीं है।
  4. हैक के समय सिस्टम पर "लाइव" डेटा का उपयोग करने के बारे में बहुत सावधान रहें। मैं यह नहीं कहूंगा कि "कभी भी ऐसा मत करो" क्योंकि आप सिर्फ मुझे अनदेखा करेंगे, लेकिन स्पष्ट रूप से मुझे लगता है कि जब आप जानते हैं कि आप इसकी अखंडता की गारंटी नहीं दे सकते, तो आपको डेटा रखने के परिणामों पर विचार करने की आवश्यकता है। आदर्श रूप से, आपको घुसपैठ से पहले किए गए बैकअप से इसे पुनर्स्थापित करना चाहिए। यदि आप ऐसा नहीं कर सकते हैं या नहीं करेंगे, तो आपको उस डेटा से बहुत सावधान रहना चाहिए क्योंकि यह दागी है। आपको विशेष रूप से दूसरों को इसके परिणामों के बारे में पता होना चाहिए यदि यह डेटा ग्राहकों या साइट के आगंतुकों से संबंधित है बजाय सीधे आपके।
  5. सिस्टम की निगरानी ध्यान से करें। आपको इसे भविष्य में चल रही प्रक्रिया (अधिक नीचे) के रूप में करने का संकल्प करना चाहिए, लेकिन आप अपनी साइट के ऑनलाइन वापस आने के तुरंत बाद की अवधि में सतर्क रहने के लिए अतिरिक्त दर्द उठाते हैं। घुसपैठिए लगभग निश्चित रूप से वापस आ जाएंगे, और यदि आप उन्हें फिर से तोड़ने की कोशिश कर सकते हैं, तो आप निश्चित रूप से जल्दी से देख पाएंगे यदि आपने वास्तव में उन सभी छेदों को बंद कर दिया है जो वे पहले इस्तेमाल किए गए किसी भी छेद को बंद कर देते हैं और वे आपके लिए उपयोगी हो सकते हैं जानकारी जिसे आप अपने स्थानीय कानून प्रवर्तन में पास कर सकते हैं।

भविष्य में जोखिम को कम करना।

पहली बात जो आपको समझने की ज़रूरत है वह यह है कि सुरक्षा एक ऐसी प्रक्रिया है जिसे आपको इंटरनेट-फेसिंग प्रणाली के डिजाइनिंग, तैनाती और रखरखाव के पूरे जीवन-चक्र में लागू करना है, न कि कुछ ऐसी चीज़ों पर जिन्हें आप अपने कोड के बाद कुछ परतों पर थप्पड़ मार सकते हैं जैसे सस्ते रंग। ठीक से सुरक्षित होने के लिए, एक सेवा और एक आवेदन को परियोजना के प्रमुख लक्ष्यों में से एक के रूप में इसे ध्यान में रखकर शुरू किया जाना चाहिए। मुझे लगता है कि यह उबाऊ है और आपने यह सब पहले सुना है और मुझे अपनी बीटा web2.0 (बीटा) सेवा को वेब पर बीटा स्थिति में प्राप्त करने का "सिर्फ दबाव आदमी का एहसास नहीं है", लेकिन तथ्य यह है कि यह रखता है दोहराया जा रहा है क्योंकि यह पहली बार सच कहा गया था और यह अभी तक झूठ नहीं बन गया है।

आप जोखिम को खत्म नहीं कर सकते। आपको ऐसा करने की कोशिश भी नहीं करनी चाहिए। हालांकि आपको क्या करना चाहिए यह समझने के लिए कि आपके लिए कौन से सुरक्षा जोखिम महत्वपूर्ण हैं, और जोखिम के प्रभाव और जोखिम दोनों होने की संभावना को प्रबंधित करने और कम करने के तरीके को समझें।

किसी हमले के सफल होने की संभावना को कम करने के लिए आप क्या कदम उठा सकते हैं?

उदाहरण के लिए:

  1. क्या वह दोष था जो लोगों को आपकी साइट को विक्रेता कोड में एक ज्ञात बग में तोड़ने की अनुमति देता था, जिसके लिए एक पैच उपलब्ध था? यदि हां, तो क्या आपको अपने दृष्टिकोण पर फिर से विचार करने की आवश्यकता है कि आप अपने इंटरनेट-फेसिंग सर्वर पर एप्लिकेशन को कैसे पैच करते हैं?
  2. क्या वह दोष था जो लोगों को आपकी साइट पर वेंडर कोड में एक अज्ञात बग को तोड़ने की अनुमति देता था, जिसके लिए एक पैच उपलब्ध नहीं था? मैं निश्चित रूप से बदलते आपूर्तिकर्ताओं की वकालत नहीं करता जब भी कुछ इस तरह आपको काटता है क्योंकि उनकी सभी समस्याएं हैं और आप इस दृष्टिकोण को लेने पर सबसे अधिक एक साल में प्लेटफार्मों से बाहर निकल जाएंगे। हालांकि, यदि कोई सिस्टम आपको लगातार नीचे जाने देता है, तो आपको या तो कुछ अधिक मजबूत पर पलायन करना चाहिए या बहुत कम से कम, अपने सिस्टम को फिर से आर्किटेक्ट करना चाहिए ताकि कमजोर घटक रुई के फाहे में लिपटे रहें और जहां तक ​​हो सके शत्रुतापूर्ण नजर से दूर रहें।
  3. क्या दोष आपके द्वारा विकसित कोड (या आपके लिए काम करने वाले ठेकेदार) में एक बग था? यदि हां, तो क्या आपको अपने दृष्टिकोण पर फिर से विचार करने की आवश्यकता है कि आप अपनी लाइव साइट पर तैनाती के लिए कोड को कैसे अनुमोदित करते हैं? क्या बग को एक बेहतर परीक्षण प्रणाली के साथ, या आपके कोडिंग "मानक" में परिवर्तन के साथ पकड़ा जा सकता है (उदाहरण के लिए, जबकि तकनीक रामबाण नहीं है, आप अच्छी तरह से प्रलेखित कोडिंग तकनीकों का उपयोग करके एक सफल एसक्यूएल इंजेक्शन हमले की संभावना को कम कर सकते हैं। )।
  4. क्या सर्वर या एप्लिकेशन सॉफ़्टवेयर को तैनात करने की समस्या के कारण दोष था? यदि हां, तो क्या आप सर्वर को बनाने और तैनात करने के लिए स्वचालित प्रक्रियाओं का उपयोग कर रहे हैं? ये आपके सभी सर्वरों पर एक सुसंगत "बेसलाइन" स्थिति बनाए रखने में बहुत मदद करते हैं, प्रत्येक पर किए जाने वाले कस्टम काम की मात्रा को कम करते हैं और इसलिए गलती होने के अवसर को कम से कम करने की उम्मीद करते हैं। समान कोड परिनियोजन के साथ जाता है - यदि आपको अपने वेब ऐप के नवीनतम संस्करण को तैनात करने के लिए कुछ "विशेष" करने की आवश्यकता है, तो इसे स्वचालित करने के लिए कड़ी मेहनत करें और यह सुनिश्चित करें कि यह हमेशा सुसंगत तरीके से किया जाए।
  5. क्या आपके सिस्टम की बेहतर निगरानी के साथ घुसपैठ को पहले पकड़ा जा सकता था? बेशक, आपके कर्मचारियों के लिए 24-घंटे की निगरानी या "ऑन कॉल" प्रणाली प्रभावी नहीं हो सकती है, लेकिन ऐसी कंपनियां भी हैं जो आपके लिए आपकी वेब फेसिंग सेवाओं की निगरानी कर सकती हैं और किसी समस्या की स्थिति में आपको सतर्क कर सकती हैं। आप तय कर सकते हैं कि आप इसे बर्दाश्त नहीं कर सकते या इसकी आवश्यकता नहीं है और यह ठीक है ... बस इसे ध्यान में रखें।
  6. ट्रिपवायर और नेसस जैसे उपकरणों का उपयोग करें जहां उपयुक्त हो - लेकिन बस उन्हें नेत्रहीन रूप से उपयोग न करें क्योंकि मैंने ऐसा कहा था। यह जानने के लिए समय निकालें कि कुछ अच्छे सुरक्षा उपकरणों का उपयोग कैसे करें जो आपके वातावरण के लिए उपयुक्त हैं, इन उपकरणों को अद्यतन रखें और नियमित रूप से उनका उपयोग करें।
  7. नियमित आधार पर अपनी वेबसाइट की सुरक्षा को 'ऑडिट' करने के लिए सुरक्षा विशेषज्ञों को काम पर रखने पर विचार करें। फिर, आप तय कर सकते हैं कि आप इसे बर्दाश्त नहीं कर सकते या इसकी आवश्यकता नहीं है और यह ठीक है ... बस इसे ध्यान में रखें।

एक सफल हमले के परिणामों को कम करने के लिए आप क्या कदम उठा सकते हैं?

यदि आप यह तय करते हैं कि आपके घर की निचली मंजिल की "जोखिम" अधिक है, लेकिन वारंट हिलाने के लिए पर्याप्त नहीं है, तो आपको कम से कम अपूरणीय परिवार के उत्तराधिकारियों को ऊपर ले जाना चाहिए। सही?

  1. क्या आप इंटरनेट से सीधे संपर्क में आने वाली सेवाओं की मात्रा कम कर सकते हैं? क्या आप अपनी आंतरिक सेवाओं और अपनी इंटरनेट-फेसिंग सेवाओं के बीच किसी प्रकार का अंतर रख सकते हैं? यह सुनिश्चित करता है कि भले ही आपके बाहरी सिस्टम को आपके आंतरिक सिस्टम पर हमला करने के लिए स्प्रिंगबोर्ड के रूप में इसका उपयोग करने की संभावना से समझौता किया जाए।
  2. क्या आप ऐसी जानकारी संग्रहीत कर रहे हैं जिसे आपको संग्रहीत करने की आवश्यकता नहीं है? क्या आप ऐसी जानकारी "ऑनलाइन" संग्रहीत कर रहे हैं जब इसे कहीं और संग्रहीत किया जा सकता है। इस भाग के दो बिंदु हैं; स्पष्ट यह है कि लोग आपसे ऐसी जानकारी नहीं चुरा सकते हैं जो आपके पास नहीं हैं, और दूसरा बिंदु यह है कि आप जितना कम स्टोर करेंगे, आपको बनाए रखने और कोड करने की आवश्यकता उतनी ही कम होगी, और इसलिए कीड़े के फिसलने की संभावना कम है। आपका कोड या सिस्टम डिज़ाइन
  3. क्या आप अपने वेब ऐप के लिए "कम से कम एक्सेस" सिद्धांतों का उपयोग कर रहे हैं? यदि उपयोगकर्ताओं को केवल डेटाबेस से पढ़ने की आवश्यकता है, तो यह सुनिश्चित करें कि वेब ऐप का उपयोग करने वाले खाते का उपयोग केवल रीड एक्सेस तक ही है, इसे एक्सेस लिखने की अनुमति न दें और निश्चित रूप से सिस्टम-स्तरीय एक्सेस न करें।
  4. यदि आप किसी चीज़ में बहुत अनुभवी नहीं हैं और यह आपके व्यवसाय के लिए केंद्रीय नहीं है, तो इसे आउटसोर्सिंग पर विचार करें। दूसरे शब्दों में, यदि आप डेस्कटॉप एप्लिकेशन कोड लिखने के बारे में बात करने वाली एक छोटी सी वेबसाइट चलाते हैं और साइट से छोटे डेस्कटॉप एप्लिकेशन बेचना शुरू करने का निर्णय लेते हैं, तो अपने क्रेडिट कार्ड ऑर्डर सिस्टम को "आउटसोर्सिंग" करें जैसे कि किसी को पेपल।
  5. यदि संभव हो, तो अपने डिजास्टर रिकवरी प्लान के समझौता किए गए सिस्टम से रिकवरी का अभ्यास करें। यह यकीनन सिर्फ एक और "आपदा परिदृश्य" है जिसका सामना आप कर सकते हैं, बस अपनी समस्याओं और मुद्दों के अपने सेट के साथ जो सामान्य से अलग हैं 'सर्वर रूम में आग लग गई' / 'को विशाल सर्वर द्वारा फरारी खाने की तरह से आक्रमण किया गया था।

... और अंत में

मैंने शायद सामान का कोई अंत नहीं छोड़ा है जो दूसरों को महत्वपूर्ण मानते हैं, लेकिन ऊपर दिए गए कदम कम से कम आपको चीजों को छांटने में मदद करना चाहिए यदि आप हैकर्स के शिकार होने के लिए पर्याप्त रूप से बदकिस्मत हैं।

इन सबसे ऊपर: घबराओ मत। करने से पहले सोचो। यदि आपने कोई निर्णय लिया है तो एक बार दृढ़ता से कार्य करें, और मेरे चरणों की सूची में कुछ जोड़ने के लिए नीचे एक टिप्पणी छोड़ दें।


8
लोगों को एक दिशा में ले जाने के लिए हाथ पर एक उत्कृष्ट पोस्ट के लिए +1। मुझे पता है कि शौकिया सर्वर द्वारा इस पैनिक मोड में प्रवेश करने के बाद पहली बार उनके लिए 'हैक' होना कितना आम है। उस जगह पर होना एक बहुत बड़ी गलती है, लेकिन ऐसा होता है। उम्मीद यह होगी कि यह एक ही व्यक्ति के साथ दो बार नहीं होगा।
एंड्रयू बार्बर 21

33
+1 "... लेकिन यह समय आपके अहंकार को उस रास्ते पर आने का नहीं है जो आपको करने की आवश्यकता है।" Sys Admins को कभी-कभी समझने के लिए यह महत्वपूर्ण है। कोई फर्क नहीं पड़ता कि आप कितने ज्ञानी हैं, हमेशा ऐसे (कभी-कभी दुर्भावनापूर्ण) होते हैं जो आपसे अधिक ज्ञानी या चतुर होते हैं।
ग्राहमक्स

11
बहुत बढ़िया जवाब। मुझे यकीन नहीं है कि क्यों हर कोई "कॉल कानून प्रवर्तन" कदम को वैकल्पिक मान रहा है। यदि आप अन्य लोगों के डेटा के लिए जिम्मेदार हैं (और मुकदमेबाजी के बारे में चिंतित हैं) तो यह आपकी चीजों की सूची में पहली चीजों में से एक होना चाहिए।
WDS

8
बहुत अच्छा लिखो, बस एक गोत्र - "एक बार में संभावित रूप से प्रभावित किसी के लिए एक पूर्ण और स्पष्ट प्रकटीकरण करें।" माननीय, लेकिन हमेशा सही नहीं। एक समझौते के जवाब में, आपको कुछ शासन कोनों में कटौती करने की आवश्यकता हो सकती है, और आपकी कंपनी आम तौर पर आपको कुछ सुस्त कटौती करेगी, हालांकि ... प्रकटीकरण या नहीं, विशेष रूप से जब डेटा संरक्षण निहितार्थ हैं, तो आपके वेतन ग्रेड के ऊपर एक मामला हो सकता है और कानूनी निहितार्थ हो सकते हैं। यह सुझाव देना बेहतर हो सकता है कि आप तुरंत डेटा सुरक्षा के लिए जिम्मेदार व्यक्ति को सूचित करें (यदि वह आप नहीं हैं) और एक पूर्ण प्रकटीकरण का आग्रह करें।
TheJJones 8:13

5
@GilesRoberts वर्चुअल मशीन होस्ट में आम तौर पर एक कंट्रोल पैनल होता है जो आपको उनके मेहमानों की सेटिंग्स में हेरफेर करने देता है, और यहां तक ​​कि RDP या SSH का उपयोग किए बिना रिमोट कंट्रोल से उन्हें वास्तव में गेस्ट में लॉग इन करता है। आपको मेजबान के नियंत्रणों का उपयोग करते हुए अतिथि को अलग करने में सक्षम होना चाहिए, फिर अपने अवकाश पर अतिथि की जांच करने के लिए इसके दूरस्थ देखने के उपकरणों का उपयोग करें।
रोब मोइर

204

ऐसा लगता है कि आपके सिर पर थोड़ा सा है; ठीक है। अपने बॉस को कॉल करें और आपातकालीन सुरक्षा प्रतिक्रिया बजट के लिए बातचीत शुरू करें। $ 10,000 शुरू करने के लिए एक अच्छी जगह हो सकती है। तब आपको किसी ऐसी कंपनी (एक PFY, एक सहकर्मी, एक प्रबंधक) को कॉल करने की आवश्यकता होती है, जो उन कंपनियों को कॉल करना शुरू करती है जो सुरक्षा घटना की प्रतिक्रिया में विशेषज्ञ हैं। कई लोग 24 घंटे के भीतर जवाब दे सकते हैं, और कभी-कभी तो और भी तेजी से अगर उनका आपके शहर में कार्यालय है।

आपको ग्राहकों को ट्राइ करने के लिए भी किसी की आवश्यकता होती है; शंका रहित, पहले से ही कोई है। किसी को फोन पर उनके साथ यह बताने की जरूरत है कि क्या चल रहा है, स्थिति को संभालने के लिए क्या किया जा रहा है, और उनके सवालों के जवाब देने के लिए।

फिर, आपको इसकी आवश्यकता है ...

  1. शांत रहो। यदि आप घटना की प्रतिक्रिया के प्रभारी हैं, तो अब आपको जो भी करना है वह अत्यंत व्यावसायिकता और नेतृत्व का प्रदर्शन करने की आवश्यकता है। दस्तावेज़ जो आप करते हैं, और अपने प्रबंधक और कार्यकारी टीम को आपके द्वारा किए गए प्रमुख कार्यों से अवगत कराते रहते हैं; इसमें एक प्रतिक्रिया टीम के साथ काम करना, सर्वरों को अक्षम करना, डेटा का बैकअप लेना और चीजों को फिर से ऑनलाइन लाना शामिल है। उन्हें गौरी विवरण की आवश्यकता नहीं है, लेकिन उन्हें आपको हर 30 मिनट में सुनना चाहिए।

  2. वास्तविक बनो। आप एक सुरक्षा पेशेवर नहीं हैं, और ऐसी चीजें हैं जो आप नहीं जानते हैं। ठीक है। जब सर्वर में लॉग इन कर रहे हैं और डेटा को देख रहे हैं, तो आपको अपनी सीमाओं को समझने की आवश्यकता है। धीरे से चलना। अपनी जांच के दौरान, सुनिश्चित करें कि आप महत्वपूर्ण सूचनाओं पर स्टंप नहीं करते हैं या ऐसा कुछ नहीं बदलते हैं जिसकी बाद में आवश्यकता हो। यदि आप असहज महसूस कर रहे हैं या आप अनुमान लगा रहे हैं, तो यह एक अच्छी जगह है और रुकने के लिए एक अनुभवी पेशेवर को लेने के लिए।

  3. एक साफ यूएसबी स्टिक और अतिरिक्त हार्ड ड्राइव प्राप्त करें। आप यहां साक्ष्य एकत्र करेंगे। आपके द्वारा महसूस की जाने वाली हर चीज़ का बैकअप प्रासंगिक हो सकता है; आपके ISP, नेटवर्क डंप, आदि के साथ संचार, भले ही कानून प्रवर्तन शामिल न हो, मुकदमे के मामले में आप यह सबूत चाहते हैं कि यह साबित हो कि आपकी कंपनी ने पेशेवर और उचित तरीके से सुरक्षा घटना को संभाला है।

  4. सबसे महत्वपूर्ण है नुकसान को रोकना। पहचानें और समझौता सेवाओं, डेटा और मशीनों तक पहुंच को काट दें। अधिमानतः, आपको उनके नेटवर्क केबल को खींचना चाहिए; यदि आप नहीं कर सकते हैं, तो शक्ति खींचें।

  5. अगला, आपको हमलावर को हटाने और छेद (ओं) को बंद करने की आवश्यकता है। संभवतः, हमलावर के पास अब इंटरएक्टिव एक्सेस नहीं है क्योंकि आपने नेटवर्क खींच लिया है। अब आपको दस्तावेज़, बैकअप, स्क्रीनशॉट, और अपने स्वयं के व्यक्तिगत अवलोकन नोटों की पहचान करने की आवश्यकता है; या अधिमानतः प्रभावित सर्वर से ड्राइव को हटाकर और एक पूर्ण डिस्क छवि प्रतिलिपि बनाकर), और फिर उसके पीछे छोड़ दिए गए किसी भी कोड और प्रक्रियाओं को हटा दें। । यदि आपके पास बैकअप नहीं है तो यह अगला भाग चूस लेगा; आप हाथ से हमलावर को सिस्टम से हटाने की कोशिश कर सकते हैं, लेकिन आपको कभी भी यकीन नहीं होगा कि आपको वह सब कुछ मिल गया जो उसने पीछे छोड़ दिया। रूटकिट्स शातिर हैं, और सभी पता लगाने योग्य नहीं हैं। सबसे अच्छा प्रतिसाद उस भेद्यता की पहचान करने के लिए होगा जिसका उपयोग वह करने के लिए करता था, प्रभावित डिस्क की छवि प्रतियां बनाता है, और फिर प्रभावित प्रणालियों को मिटा देता है और एक ज्ञात अच्छे बैकअप से पुनः लोड करता है। डॉन' t आँख बंद करके अपने बैकअप पर भरोसा करें; इसे सत्यापित करें! नए होस्ट के दोबारा नेटवर्क पर जाने से पहले उसकी भेद्यता को सुधारना या बंद करना और फिर उसे ऑनलाइन लाना।

  6. अपने सभी डेटा को एक रिपोर्ट में व्यवस्थित करें। इस बिंदु पर भेद्यता बंद है और आपके पास सांस लेने के लिए कुछ समय है। इस चरण को छोड़ने के लिए परीक्षा न करें; यह बाकी प्रक्रिया की तुलना में और भी महत्वपूर्ण है। रिपोर्ट में, आपको यह पहचानने की आवश्यकता है कि क्या गलत हुआ, आपकी टीम ने कैसे प्रतिक्रिया दी, और आप इस घटना को फिर से होने से रोकने के लिए क्या कदम उठा रहे हैं। जितना हो सके उतना विस्तृत बनो; यह सिर्फ आपके लिए नहीं है, बल्कि आपके प्रबंधन के लिए और संभावित मुकदमे में बचाव के लिए है।

कि क्या करना है की एक आकाश-उच्च समीक्षा; अधिकांश कार्य केवल प्रलेखन और बैकअप हैंडलिंग है। घबराओ मत, तुम वह सामान कर सकते हो। मैं आपको पेशेवर सुरक्षा सहायता प्राप्त करने की जोरदार सलाह देता हूं। यहां तक ​​कि अगर आप संभाल सकते हैं कि क्या चल रहा है, तो उनकी मदद अमूल्य होगी और वे आमतौर पर प्रक्रिया को आसान और तेज़ बनाने के लिए उपकरणों के साथ आते हैं। यदि आपका मालिक लागत पर संतुलन रखता है, तो उसे याद दिलाएं कि मुकदमे को संभालने की तुलना में यह बहुत छोटा है।

आपकी स्थिति के लिए मेरी संवेदनाएं हैं। सौभाग्य।


19
+1 महान जवाब। ऐसा लगता है कि ओपी के पास एक पूर्व-परिभाषित "आपातकालीन प्रतिक्रिया" नहीं है और आपकी पोस्ट, अन्य अच्छी चीजों के बीच, उन्हें स्थापित करने की ओर इशारा करना चाहिए।
रोब मोइर

109

CERT के पास UNIX या NT सिस्टम कॉम्प्रोमाइज से पुनर्प्राप्त करने के लिए एक दस्तावेज है जो अच्छा है। इस दस्तावेज़ का विशिष्ट तकनीकी विवरण कुछ हद तक पुराना है, लेकिन सामान्य सलाह का एक बहुत अभी भी सीधे लागू होता है।

मूल चरणों का एक त्वरित सारांश यह है।

  • अपनी सुरक्षा नीति या प्रबंधन से परामर्श करें।
  • नियंत्रण प्राप्त करें (कंप्यूटर को ऑफ़लाइन लें)
  • घुसपैठ का विश्लेषण करें, लॉग प्राप्त करें, क्या गलत हुआ
  • सामान की मरम्मत
    • अपने ऑपरेटिंग सिस्टम का एक साफ संस्करण स्थापित करें !!! यदि सिस्टम से समझौता किया गया है तो आप उस पर भरोसा नहीं कर सकते हैं, अवधि।
  • सिस्टम को अपडेट करें ताकि यह फिर से न हो सके
  • संचालन फिर से शुरू करें
  • भविष्य और दस्तावेज़ के लिए अपनी नीति अपडेट करें

मैं विशेष रूप से आपको E.1 सेक्शन की ओर संकेत करना चाहूंगा।

E.1। ध्यान रखें कि यदि किसी मशीन से छेड़छाड़ की जाती है, तो उस सिस्टम पर कुछ भी संशोधित किया जा सकता है, जिसमें कर्नेल, बायनेरिज़, डेटाफाइल्स, रनिंग प्रोसेस और मेमोरी शामिल हैं। सामान्य तौर पर, यह विश्वास करने का एकमात्र तरीका है कि मशीन बैकडोर और घुसपैठियों से मुक्त है और ऑपरेटिंग को फिर से स्थापित करना है

यदि आपके पास पहले से ही ट्रिपवायर जैसी कोई प्रणाली नहीं है, तो आपके लिए 100% निश्चित होना संभव नहीं है कि आपने सिस्टम को साफ कर दिया है।


26
फिर भी ट्रिपवायर को कर्नेल मॉड्यूल और इस तरह से बेवकूफ बनाया जा सकता है। पुनर्स्थापित करें।
reconbot

किसी संकट में कैसे जवाब दिया जाए, इस बारे में संबंधित प्रश्न भी यहां उपयोगी हो सकता है।
ज़ॉडेचेस

67
  1. समस्या की पहचान करें। लॉग पढ़ें।
  2. कंटेनर । आपने सर्वर काट दिया है, इसलिए ऐसा किया गया है।
  3. मिटाना । प्रभावित सिस्टम को पुनर्स्थापित करें, सबसे अधिक संभावना है। हालांकि हैक किए गए हार्ड ड्राइव को मिटाएं नहीं, एक नए का उपयोग करें। यह सुरक्षित है, और आपको पुराने वाले को बदसूरत हैक को पुनर्प्राप्त करने की आवश्यकता हो सकती है जो कि बैकअप नहीं थे, और जो कुछ हुआ, उसे खोजने के लिए फोरेंसिक करने के लिए।
  4. वसूल करना । अपने ग्राहकों को ऑनलाइन प्राप्त करने के लिए जो भी आवश्यक हो और बैकअप पुनर्प्राप्त करें स्थापित करें।
  5. अनुवर्ती । पता लगाएँ कि समस्या क्या थी, और इसे फिर से होने से रोकें।

52

रॉबर्ट का "कड़वा गोली" जवाब हाजिर है लेकिन पूरी तरह से सामान्य (अच्छी तरह से, जैसा कि आपका सवाल था)। अगर आपके पास एक सर्वर और 600 ग्राहक हैं, तो यह आपके लिए एक प्रबंधन समस्या है और एक पूर्णकालिक sysadmin की सख्त जरूरत है, लेकिन यह आपकी मदद नहीं करता है।

मैं एक होस्टिंग कंपनी चलाता हूं, जो इस स्थिति में थोड़ी-बहुत सहायता प्रदान करती है, इसलिए मैं बहुत सारी समझौता मशीनों के साथ काम करता हूं, लेकिन अपने स्वयं के लिए सर्वोत्तम व्यवहार भी करता हूं। हम हमेशा अपने समझौता किए गए ग्राहकों को फिर से बनाने के लिए कहते हैं जब तक कि वे एक समझौते की प्रकृति के बारे में निश्चित नहीं होते। दीर्घकालिक में कोई अन्य जिम्मेदार मार्ग नहीं है।

हालाँकि, आप लगभग निश्चित रूप से एक स्क्रिप्ट किडनी के शिकार हैं जो DoS हमलों, या IRC बाउंसरों के लिए एक लॉन्चिंग पैड चाहते थे, या आपके ग्राहकों की साइटों और डेटा से पूरी तरह से असंबंधित। इसलिए जब आप पुनर्निर्माण करते हैं तो एक अस्थायी उपाय के रूप में, आप अपने बॉक्स पर भारी आउटबाउंड फ़ायरवॉल लाने पर विचार कर सकते हैं। यदि आप सभी आउटबाउंड यूडीपी और टीसीपी कनेक्शन को ब्लॉक कर सकते हैं जो आपकी साइटों के कामकाज के लिए बिल्कुल आवश्यक नहीं हैं, तो आप आसानी से अपने समझौता किए गए बॉक्स को बेकार कर सकते हैं जो कोई भी आपसे इसे उधार ले रहा है, और आपके प्रदाता के नेटवर्क पर प्रभाव को शून्य कर सकता है।

इस प्रक्रिया में कुछ घंटे लग सकते हैं यदि आपने इसे पहले नहीं किया है, और आपने कभी फ़ायरवॉल नहीं माना है, लेकिन आपको अपने क्लाइंट डेटा को हमलावर की पहुंच देने के लिए जारी रखने के जोखिम में अपनी क्लाइंट सेवा को बहाल करने में मदद कर सकता है । चूंकि आप कहते हैं कि आपके पास एक मशीन पर सैकड़ों ग्राहक हैं, इसलिए मैं अनुमान लगा रहा हूं कि आप छोटे व्यवसायों के लिए छोटे ब्रोशर वेब साइटों की मेजबानी कर रहे हैं, न कि क्रेडिट कार्ड नंबर से भरे 600 ई-कॉमर्स सिस्टम। अगर ऐसी बात है तो यह आपके लिए एक स्वीकार्य खतरा हो, और अपने सिस्टम वापस पाने के लिए तेजी से सुरक्षा कीड़े के लिए 600 साइटों लेखा परीक्षा की तुलना में ऑनलाइन कर सकते हैं इससे पहले कि आप कुछ भी वापस लाना। लेकिन आपको पता चल जाएगा कि डेटा क्या है, और आप उस निर्णय को कितना सहज लेंगे।

यह पूरी तरह से सबसे अच्छा अभ्यास नहीं है, लेकिन अगर ऐसा नहीं है जो आपके नियोक्ता पर अब तक हो रहा है, तो अपनी उंगली को उन पर लहराएं और एक स्वाट टीम के लिए दसियों हज़ार पाउंड मांगें, जो उन्हें लग सकता है कि आपकी गलती है (हालांकि अनुचित है! ) व्यावहारिक विकल्प की तरह आवाज नहीं करता है।

यहां आपकी ISP की मदद बहुत महत्वपूर्ण है - कुछ ISP एक कंसोल सर्वर और नेटवर्क बूट वातावरण प्रदान करते हैं (प्लग, लेकिन कम से कम आपको पता है कि किस तरह की सुविधा के लिए देखना है) जो आपको नेटवर्क से डिस्कनेक्ट होने के दौरान सर्वर को प्रशासित करने देगा। यदि यह सभी विकल्प पर है, तो इसके लिए पूछें और इसका उपयोग करें।

लेकिन दीर्घकालिक में आपको रॉबर्ट के पद और प्रत्येक साइट और उसके सेटअप के ऑडिट के आधार पर एक सिस्टम पुनर्निर्माण पर योजना बनानी चाहिए। यदि आप अपनी टीम में शामिल किए गए एक sysadmin नहीं पा सकते हैं, तो एक प्रबंधित होस्टिंग सौदे की तलाश करें जहां आप अपने ISP को sysadminning मदद और इस तरह की चीज़ के लिए 24 घंटे की प्रतिक्रिया के लिए भुगतान करते हैं। सौभाग्य :)


41

आपको फिर से स्थापित करने की आवश्यकता है। जो आपको वास्तव में चाहिए, उसे बचाएं। लेकिन ध्यान रखें कि आपकी सभी रन करने योग्य फाइलें संक्रमित और छेड़छाड़ की हो सकती हैं। मैंने अजगर में निम्नलिखित लिखा है: http://frw.se/monty.py जो किसी दिए गए निर्देशिका में आपकी सभी फाइलों का एमडी 5-सारांश बनाता है और अगली बार जब आप इसे चलाते हैं, तो यह जांचता है कि क्या कुछ बदला गया है और फिर आउटपुट क्या है फाइलें बदल गईं और फाइलों में क्या बदल गया।

यह आपके लिए आसान हो सकता है, यह देखने के लिए कि क्या अजीब फाइलें नियमित रूप से बदली जाती हैं।

लेकिन अब आपको केवल वही काम करना चाहिए, जो आपके कंप्यूटर को इंटरनेट से हटा रहा है।


13
तो ... आपने ट्रिपवायर को लागू किया है।
वोमबल

13
हां, इसमें कुछ गड़बड़ है?
फिलिप एकबर्ग

1
+1 अनप्लग के लिए, विश्लेषण करें (किसी को उस पर वास्तविक फोरेंसिक करने के लिए प्राप्त करें) और पोंछें
ऑस्कर डुवॉर्न

4
एक अनाम पायथन स्क्रिप्ट और एक प्रलेखित (कुछ) समर्थित, अच्छी तरह से समझा मानक समाधान के बीच की पसंद को देखते हुए, आप उम्मीद कर रहे हैं कि वे पूर्व को चुनेंगे?
ट्रिपलए

37

नोट: यह एक सिफारिश नहीं है। मेरा विशिष्ट हादसा प्रतिक्रिया प्रोटोकॉल ग्रांट अनविन के मामले में अनमॉडिफाइड लागू नहीं होगा

हमारी शैक्षणिक सुविधाओं में हमारे पास लगभग 300 शोधकर्ता हैं जो केवल गणना करते हैं। आपके पास वेबसाइटों के साथ 600 ग्राहक हैं इसलिए आपका प्रोटोकॉल शायद अलग होगा।

हमारे पहले चरण में जब एक सर्वर समझौता किया प्रोटोकॉल हो जाता है:

  1. पहचानें कि हमलावर रूट (उन्नत विशेषाधिकार) प्राप्त करने में सक्षम था
  2. प्रभावित सर्वर को अनप्लग करें। नेटवर्क या पावर? कृपया एक अलग चर्चा देखें ।
  3. अन्य सभी प्रणालियों की जाँच करें
  4. एक लाइव सीडी से प्रभावित सर्वर को बूट करें
  5. (वैकल्पिक) के साथ सभी सिस्टम ड्राइव की छवियों को पकड़ोdd
  6. पोस्टमार्टम फोरेंसिक से करना शुरू करें। लॉग को देखें, हमले के समय का पता लगाएं, उस समय संशोधित की गई फ़ाइलों को ढूंढें। कैसे जवाब देने की कोशिश करें? सवाल।

    • समानांतर में, अपनी वसूली की योजना बनाएं और निष्पादित करें।
    • सेवा को फिर से शुरू करने से पहले सभी रूट और उपयोगकर्ता पासवर्ड रीसेट करें

यहां तक ​​कि अगर "सभी बैकस्ट और रूटकिट्स को साफ किया जाता है", तो उस प्रणाली पर भरोसा न करें - खरोंच से फिर से स्थापित करें।


23
-1 पावर से सर्वर को अनप्लग करें? आपने अपना आधा फॉरेंसिक डेटा खो दिया है!
जोश ब्राउन

@ जोश, मैंने अपना उत्तर समायोजित कर लिया - अब यह व्हाट्स अनप्लग प्रश्न पर तटस्थ है।
बजे

5
रैम फोरेंसिक (जैसे / देव / शम) सहायक हो सकता है। मैं पावर केबल को अनप्लग करना पसंद करता हूं (लेकिन rsyncसही से पहले लॉग-इन और / प्रोक्योर करने की कोशिश करता हूं )। हम लगातार वीएम स्नैपशॉट भी पेश कर सकते हैं ताकि रैम फोरेंसिक संभव हो सके। पावर केबल के लिए जाने के कारण हैं (1) जब आप हैक किए गए सिस्टम में फोरेंसिक करते हैं, तो आप "सभी अपराध स्थल पर कदम रख रहे हैं"; (2) रूट किट चालू रहती है - दुर्भावनापूर्ण के लिए इतना मुश्किल नहीं है कि नेटवर्क लिंक ईवेंट पर किसी चीज़ (जैसे सिस्टम वाइप-आउट) को निष्पादित करें । काइल रैनकिन ने अपनी अच्छी पहचान में फॉरेंसिक टॉक ( goo.gl/g21Ok ) को पावर केबल खींचने की सलाह दी।
हांग्जो लेवचुक

4
कोई भी आकार सभी आईआर प्रोटोकॉल के अनुरूप नहीं है - कुछ अंगों को जो भी कारण से थोड़ी देर के लिए समझौता प्रणाली को ऑनलाइन रखने की आवश्यकता हो सकती है। (RAM और अस्थायी लॉग फोरेंसिक, घुसपैठियों के साथ बातचीत, आदि) मेरा कहना है कि एक जेनेरिक IR प्रोटोकॉल (ऊपर Jakob Borgs की तरह) की सिफारिश करना बेहतर होगा बजाय इसके कि शुरू होने वाले सर्वर के पावर प्लग को खींचो। "
जोश ब्राउन

31

मेरे सीमित अनुभव में, लिनक्स पर सिस्टम विंडोज से अधिक 'व्यापक' हो जाते हैं। रूट किट में मैलवेयर को छिपाने के लिए सिस्टम बायनेरिज़ को अनुकूलित कोड के साथ शामिल करने की बहुत अधिक संभावना है, और कर्नेल को गर्म-पैच करने के लिए अवरोध थोड़ा कम है। साथ ही, यह बहुत सारे मैलवेयर लेखकों के लिए घर का ओएस है। सामान्य मार्गदर्शन हमेशा प्रभावित सर्वर को खरोंच से पुनर्निर्माण करना है, और यह एक कारण के लिए सामान्य मार्गदर्शन है।

उस पिल्ला को प्रारूपित करें।

लेकिन, यदि आप पुनर्निर्माण नहीं कर सकते हैं (या शक्तियां-शक्तियां-आप इसे अपने सख्त आग्रह के खिलाफ पुनर्निर्माण नहीं करेंगे कि इसे इसकी आवश्यकता है), तो आप क्या चाहते हैं?

चूंकि यह लगता है कि घुसपैठ की खोज किए जाने के बाद कुछ समय हो गया है, और एक सिस्टम पुनर्स्थापना की गई है, इसलिए यह बहुत संभावना है कि सेवा को बहाल करने के लिए भगदड़ में उन्हें कैसे मिला है। दुर्भाग्य।

असामान्य नेटवर्क ट्रैफ़िक शायद सबसे आसान है, क्योंकि यह बॉक्स पर कुछ भी शामिल नहीं करता है और सर्वर के उठने और जो कुछ भी कर रहा है उसे किया जा सकता है। निश्चित रूप से, आपका नेटवर्किंग गियर पोर्ट-स्पैनिंग की अनुमति देता है। आप जो पाते हैं वह नैदानिक ​​हो सकता है या नहीं भी हो सकता है, लेकिन कम से कम यह जानकारी है। असामान्य ट्रैफ़िक प्राप्त करना इस बात का मज़बूत सबूत होगा कि सिस्टम अभी भी समझौता किया हुआ है और उसे समतल करने की आवश्यकता है। यह टीपीटीबी को समझाने के लिए काफी अच्छा हो सकता है कि वास्तव में एक रिफॉर्मेट, डाउनटाइम के लायक है।

ऐसा करने में, अपने सिस्टम विभाजन की एक डीडी-कॉपी लें और दूसरे बॉक्स पर उन्हें माउंट करें। समझौता किए गए समान पैच-स्तर पर सर्वर के साथ सामग्री की तुलना करना शुरू करें। यह आपको यह पहचानने में मदद करेगा कि क्या अलग दिखता है (उन md5sums फिर से) और समझौता किए गए सर्वर पर अनदेखी किए गए क्षेत्रों को इंगित कर सकते हैं। यह निर्देशिका और बायनेरिज़ के माध्यम से स्थानांतरण का एक बहुत कुछ है, और बल्कि श्रम गहन होगा। यह एक सुधारक / पुनर्निर्माण की तुलना में अधिक श्रम गहन हो सकता है, और टीपीटीबी को हिट करने के लिए एक और चीज हो सकती है वास्तव में सुधार की आवश्यकता के बारे में वास्तव में इसकी आवश्यकता है।


2
'उस पिल्ला को प्रारूपित करें।' - +1, ऋषि सलाह। इसे भी देखें: "ऑर्बिट से इसे न्यूक करें, यह सुनिश्चित करने का एकमात्र तरीका है।"
एवरी पायने

31

मैं कहूंगा कि @Robert Moir, @Aleksandr Levchuk, @blueben और @Matthew Bloch सभी अपनी प्रतिक्रिया में बहुत अधिक हाजिर हैं।

हालांकि, विभिन्न पोस्टरों के उत्तर अलग-अलग हैं - कुछ उच्च-स्तर पर हैं और इस बारे में बात करते हैं कि आपके पास क्या प्रक्रियाएं होनी चाहिए (सामान्य रूप से)।

मैं इसे कई अलग-अलग हिस्सों में अलग करना चाहता हूं 1) ट्राइएज, एकेए ग्राहकों और कानूनी निहितार्थों से कैसे निपटना है, और वहां से कहां जाना है इसकी पहचान करें (रॉबर्ट और @ब्लेबेन द्वारा बहुत अच्छी तरह से सूचीबद्ध) प्रभाव 3 का शमन ) हादसा प्रतिक्रिया 4) पोस्टमार्टम फोरेंसिक 5) बचाव आइटम और वास्तुकला में परिवर्तन

(यहां बॉयलरप्लेट एसएनएस जीएससी प्रमाणित प्रतिक्रिया विवरण डालें) पिछले अनुभवों के आधार पर, मैं निम्नलिखित कहूंगा:

इसके बावजूद कि आप ग्राहकों की प्रतिक्रियाओं, सूचनाओं, कानूनी और भविष्य की योजनाओं को कैसे संभाल रहे हैं, मैं मुख्य मुद्दे पर ध्यान देना पसंद करूंगा। ओपी का मूल प्रश्न वास्तव में सीधे # 2 और # 3 से संबंधित है, मूल रूप से, हमले को कैसे रोकें, ग्राहकों को अपने मूल राज्य में ऑनलाइन एएसएपी वापस प्राप्त करें, जो प्रतिक्रियाओं में अच्छी तरह से कवर किया गया है।

बाकी प्रतिक्रियाएं बहुत अच्छी हैं और बहुत सारे पहचाने गए सर्वोत्तम प्रथाओं और तरीकों को शामिल करती हैं जो भविष्य में होने से रोकते हैं और साथ ही साथ बेहतर प्रतिक्रिया भी देते हैं।

यह वास्तव में ओपी के बजट पर निर्भर करता है और वे किस उद्योग के क्षेत्र में हैं, उनका वांछित समाधान क्या है आदि।

हो सकता है कि उन्हें एक समर्पित ऑनसाइट एसए रखने की आवश्यकता हो। हो सकता है कि उन्हें सुरक्षाकर्मी की जरूरत हो। या हो सकता है कि उन्हें पूरी तरह से प्रबंधित समाधान की आवश्यकता हो जैसे कि फायरहोस्ट या रैकस्पेस प्रबंधित, सॉफ्टलेयर, सेर्वपाथ आदि।

यह वास्तव में उनके व्यवसाय के लिए क्या काम करता है पर निर्भर करता है। हो सकता है कि उनकी मुख्य योग्यता सर्वर प्रबंधन में न हो और यह समझ में न आए कि उन्हें विकसित करने का प्रयास किया जाए। या, शायद वे पहले से ही एक सुंदर तकनीकी संगठन हैं और सही काम पर निर्णय लेने और एक समर्पित टीम पूर्णकालिक पर ला सकते हैं।


1
हाँ, यह निर्भर करता है, हम जानते हैं। यह कहना कि वास्तव में बहुत मदद नहीं करता है।
DOK

27

काम करने और सर्वर पर एक नज़र डालने के बाद हम समस्या का पता लगाने में कामयाब रहे। सौभाग्य से, आपत्तिजनक फ़ाइलों को रविवार को सिस्टम में अपलोड किया गया था, जब कार्यालय बंद रहता है और लॉग और कैश फ़ाइलों के अलावा कोई फाइल नहीं बनाई जानी चाहिए। एक सरल शेल कमांड के साथ यह पता लगाने के लिए कि उस दिन हमने कौन सी फाइलें बनाई हैं।

सभी आक्रामक फाइलें हमारे पुराने ज़ेनकार्ट साइटों में से कुछ पर / छवियों / फ़ोल्डर के भीतर लगती हैं। ऐसा लगता है कि एक सुरक्षा भेद्यता थी जिसने व्यवस्थापक अनुभाग में छवि अपलोड अनुभाग में गैर-छवियों को अपलोड करने के लिए किसी भी बेवकूफ को (कर्ल का उपयोग करके) अनुमति दी थी। हमने अपमानजनक .php फ़ाइलों को हटा दिया है, और अपलोड स्क्रिप्ट को किसी भी फ़ाइल अपलोड को हटाने के लिए निर्धारित किया है जो चित्र नहीं हैं।

रेट्रोस्पेक्ट में, यह काफी सरल था और मैंने अपने iPhone पर काम के तरीके पर यह सवाल उठाया। आप सभी लोगों की मदद के लिए धन्यवाद।

भविष्य में इस पोस्ट पर जाने वाले किसी के संदर्भ के लिए। मैं पावर प्लग खींचने की सलाह नहीं दूंगा।


अनुदान, मुझे खुशी है कि इसने आपके लिए बहुत सहजता से काम किया। यह कुछ मामूली था - हम में से कई की तुलना में बहुत कम गंभीर था। इस चर्चा ने मुझे संवाद करने के बारे में एक सबक सिखाया, अश्लील प्रतिक्रियाओं पर विचार के लिए कई अच्छे सुझाव और भोजन दिए।
हांग्जो लेवचुक

3
वापस आने के लिए धन्यवाद और हमें बताएं कि आप कैसे मिले - जैसा कि आप देख सकते हैं, आपके प्रश्न ने काफी चर्चा उत्पन्न की। मुझे खुशी है कि आप इससे बहुत बुरी तरह प्रभावित नहीं हुए और अंत में आपका समाधान काफी सरल था।
रोब मोइर

5
यह एक टिप्पणी होनी चाहिए (या आपके प्रश्न में पाठ के रूप में शामिल), आपके प्रश्न का उत्तर नहीं।
टेकबॉय

5
@ टेकबॉय: ऐसा लगता है कि वह अभी तक अपने एसओ और एसएफ खातों से जुड़ा नहीं है, इसलिए वह अपने सवाल को संपादित नहीं कर सकता है। @ लाभ: आप अपने खातों को अपने उपयोगकर्ता पृष्ठ पर "खाते" पैनल के माध्यम से जोड़ सकते हैं।
हिप्पो

1
बिना आधारभूत विन्यास के आपको कैसे पता चलेगा कि रूटकिट नहीं चल रही है?
यूनिक्स जेनरेटर

18

मेरे पास व्यापक तकनीकी उत्तरों में योगदान करने के लिए बहुत कम है लेकिन कृपया इनमें से कुछ पर भी ध्यान दें:

गैर-तकनीकी कार्य:

  • आंतरिक रूप से घटना की रिपोर्ट करें।
    यदि आपके पास पहले से ही एक घटना प्रतिक्रिया योजना नहीं है जो एक CYA तकनीक दिखाई दे सकती है, लेकिन IT विभाग एकमात्र नहीं है और अक्सर समझौता किए गए सर्वर के व्यावसायिक प्रभाव को निर्धारित करने के लिए सबसे अच्छी जगह भी नहीं है।
    व्यावसायिक आवश्यकताएं आपकी तकनीकी चिंताओं को दूर कर सकती हैं। "मैंने आपको ऐसा कहा था" मत कहो और व्यावसायिक चिंताओं की प्राथमिकता का कारण यह है कि आप इस समझौता सर्वर को पहले स्थान पर रख रहे हैं। (" बाद की कार्रवाई रिपोर्ट के लिए उसे छोड़ दें। ")

  • सुरक्षा घटना को कवर करना एक विकल्प नहीं है।

  • स्थानीय अधिकारियों को सूचना देना।
    ServerFault कानूनी सलाह के लिए जगह नहीं है, लेकिन यह एक ऐसी घटना है जिसे एक घटना प्रतिक्रिया योजना में शामिल किया जाना चाहिए।
    कुछ इलाकों और / या विनियमित उद्योगों में स्थानीय कानूनों को लागू करने, निकायों को विनियमित करने या प्रभावित ग्राहकों / उपयोगकर्ताओं को सूचित करने के लिए (कुछ) सुरक्षा घटनाओं की रिपोर्ट करना (कुछ) अनिवार्य है।
    बावजूद, न तो रिपोर्ट करने का निर्णय लिया गया और न ही वास्तविक रिपोर्ट पूरी तरह से आईटी विभाग में की गई है। प्रबंधन और कानूनी और कॉर्पोरेट संचार (विपणन) विभागों से भागीदारी की अपेक्षा करें।
    आपको शायद बहुत ज्यादा उम्मीद नहीं करनी चाहिए, इंटरनेट एक बड़ी जगह है जहां सीमाओं का बहुत कम अर्थ है, लेकिन कई पुलिस विभागों में मौजूद साइबर अपराध विभाग डिजिटल अपराधों को हल करते हैं और दोषी को न्याय दिला सकते हैं।


16

मुझे लगता है कि यह सब इसके लिए उबलता है:

यदि आप अपनी नौकरी को महत्व देते हैं, तो आपके पास एक योजना बेहतर थी, और इसे नियमित रूप से संशोधित करें।

योजना को विफल करना विफल होने की योजना बना रहा है, और यह सिस्टम सुरक्षा के अलावा कहीं और नहीं है। जब <redacted> प्रशंसक को हिट करता है, तो आप बेहतर तरीके से इससे निपटने के लिए तैयार होंगे।

यहाँ एक और (कुछ हद तक स्पष्ट) कहा गया है कि यहाँ लागू होता है: रोकथाम इलाज से बेहतर है

अपने मौजूदा सिस्टम का ऑडिट करने के लिए विशेषज्ञों को प्राप्त करने के लिए यहाँ कई सिफारिशें की गई हैं। मुझे लगता है कि यह गलत समय पर सवाल पूछ रहा है। यह सवाल तब पूछा जाना चाहिए था जब सिस्टम लगाया गया था, और जवाब दस्तावेज थे। इसके अलावा, सवाल यह नहीं होना चाहिए कि "हम लोगों को टूटने से कैसे रोक सकते हैं?" यह होना चाहिए "क्यों लोगों को सभी में तोड़ने में सक्षम होना चाहिए?" आपके नेटवर्क में छेदों के एक समूह के लिए ऑडिटिंग केवल तब तक काम करेगी जब तक कि नए छेद नहीं मिलते और उनका शोषण नहीं होता। दूसरी ओर, जमीन से डिज़ाइन किए गए नेटवर्क केवल कुछ तरीकों से कुछ खास तरीके से जवाब देने के लिए सावधानीपूर्वक नृत्य में एक ऑडिट से लाभान्वित नहीं होंगे और धन की बर्बादी होगी।

इंटरनेट पर एक सिस्टम डालने से पहले, खुद से पूछें - क्या इसके लिए 100% इंटरनेट का सामना करना पड़ता है? यदि नहीं, नहीं। इसे फ़ायरवॉल के पीछे रखने पर विचार करें जहाँ आप तय कर सकते हैं कि इंटरनेट क्या देखता है। इससे भी बेहतर, अगर कहा जाता है कि फ़ायरवॉल आपको प्रसारण को बाधित करने की अनुमति देता है (रिवर्स प्रॉक्सी या किसी तरह के पास-थ्रू फ़िल्टर के माध्यम से) तो इसका उपयोग करने के लिए केवल वैध कार्यों को होने दें।

यह किया गया है - एक इंटरनेट बैंकिंग सेटअप कहीं है (या था) जिसमें एक लोड-बैलेंसिंग प्रॉक्सी है जो इंटरनेट का सामना कर रहा है जो वे अपने सर्वर के पूल से दूर वेक्टर हमलों का उपयोग करने जा रहे थे। सुरक्षा विशेषज्ञ मार्कस रानम ने उल्टे प्रॉक्सी का उपयोग करके, केवल ज्ञात वैध URL के माध्यम से और बाकी सब कुछ 404 सर्वर पर भेजने की अनुमति देकर, विपरीत दृष्टिकोण अपनाने के लिए उन्हें आश्वस्त किया । यह आश्चर्यजनक रूप से समय की कसौटी पर खरा उतरा।

डिफ़ॉल्ट परमिट के आसपास आधारित एक प्रणाली या नेटवर्क को विफल करने के लिए एक बार हमला किया जाता है, जब आप ऐसा नहीं करते हैं। डिफ़ॉल्ट इंकार आपको इस बात पर अधिक नियंत्रण देता है कि क्या मिलता है और क्या नहीं, क्योंकि आप अंदर से कुछ भी बाहर नहीं जाने देंगे जब तक कि यह अच्छी तरह से होने की जरूरत नहीं है

उस ने कहा, इस सब के लिए जटिल होने का कोई कारण नहीं है। ब्रीच के बाद पहले कुछ घंटों के लिए आपके पास एक योजना होनी चाहिए। कोई भी व्यवस्था परिपूर्ण नहीं है और मनुष्य गलतियाँ करते हैं।


15

एक अच्छे ऑनलाइनर ने हाल ही में मुझे यह पता लगाने में मदद की कि एक हमलावर एक सिस्टम से कैसे समझौता कर सकता है। कुछ पटाखे फाइलों पर संशोधन का समय बताकर अपने निशान छिपाने की कोशिश करते हैं। संशोधन समय को बदलकर परिवर्तन समय अद्यतन किया जाता है (समय)। आप स्टेट को स्टेट के साथ देख सकते हैं।

यह एक लाइनर ctime द्वारा क्रमबद्ध सभी फाइलों को सूचीबद्ध करता है:

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

इसलिए यदि आप मोटे तौर पर समझौते के समय को जानते हैं, तो आप देख सकते हैं कि कौन सी फाइलें बदली या बनाई गई हैं।


हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.