यह पता लगाना कि हैक किया गया सर्वर कैसे हैक किया गया

11

मैं बस साइट के माध्यम से ब्राउज़ कर रहा था और यह प्रश्न पाया गया : मेरे सर्वर को EMERGENCY हैक कर लिया गया है । मूल रूप से प्रश्न कहता है: मेरा सर्वर हैक हो गया है। मुझे क्या करना चाहिए?

सबसे अच्छा उत्तर उत्कृष्ट है लेकिन इसने मेरे मन में कुछ सवाल खड़े कर दिए हैं। सुझाए गए चरणों में से एक है:

यह समझने के लिए कि 'हमले' सिस्टम की जाँच करें कि हमले आपकी सुरक्षा से समझौता करने में कैसे सफल हुए। यह पता लगाने के लिए हर संभव प्रयास करें कि हमले "कहां से आए", ताकि आप समझ सकें कि भविष्य में आपके सिस्टम को सुरक्षित बनाने के लिए आपको क्या समस्याएं हैं और इसका समाधान करने की आवश्यकता है।

मैंने कोई सिस्टम एडमिन काम नहीं किया है इसलिए मुझे नहीं पता कि मैं यह कैसे करना शुरू करूंगा। पहला कदम क्या होगा? मुझे पता है कि आप सर्वर लॉग फ़ाइलों में देख सकते हैं, लेकिन एक हमलावर के रूप में पहली बात यह है कि मैं लॉग फ़ाइलों को गलत कर रहा हूं। आप "कैसे" समझेंगे कि हमले कैसे सफल हुए?

security 
sixtyfootersdude
स्रोत
मैंने कुछ 'हैक' सर्वरों को देखा है और उनमें से एक भी ने लॉग को मिटाया नहीं है; मुझे पता है कि यह अक्सर होता है। हमलावर का आमतौर पर एक प्राथमिक उद्देश्य होता है (डेटा चोरी करना या आमतौर पर प्रॉक्सी / मध्यस्थ के रूप में सर्वर का उपयोग करना) और उनकी प्रविष्टि को अस्पष्ट करना एक माध्यमिक उद्देश्य है।
क्रिस एस
IMHO के लिए यह बेहतर होगा कि हम खुद से पूछें कि किसी सर्वर को बेहतर तरीके से कैसे सुरक्षित किया जाए और इसे सही ढंग से कैसे ऑडिट किया जाए।
tmow
इस दिन और उम्र में "हैक किया गया" सर्वर अक्सर स्वचालित स्क्रिप्ट किडी टूल्स से होता है जो शायद ही कभी मिटाता है, अक्सर खुद को छिपाने के लिए बहुत कम प्रयास करता है।
साइरेक्स

जवाबों:

11

मैं यह कहकर शुरू करूंगा, यदि आपके पास कोई लॉग फ़ाइलें नहीं हैं , तो एक उचित अच्छा मौका है कि आप कभी भी यह नहीं समझ पाएंगे कि हमला कहां या कैसे सफल हुआ। पूर्ण और उचित लॉग फ़ाइलों के साथ भी, यह पूरी तरह से समझना मुश्किल हो सकता है कि कौन, क्या, कहाँ, कब, क्यों और कैसे।

इसलिए, यह जानना महत्वपूर्ण है कि लॉग फाइलें कितनी महत्वपूर्ण हैं, आप यह समझना शुरू कर देते हैं कि आपके पास उन्हें रखना कितना सुरक्षित है। यही कारण है कि कंपनियां क्या करती हैं और शॉर्ट के लिए सिक्योरिटी इंफॉर्मेशन एंड इवेंट मैनेजमेंट या सिएम में निवेश करना चाहिए ।

सिएम

संक्षेप में, अपनी सभी लॉग फ़ाइलों को विशिष्ट घटनाओं (समय-आधारित या अन्यथा) में सहसंबंधित करना एक अत्यंत चुनौतीपूर्ण कार्य हो सकता है। अगर आपको मुझ पर विश्वास नहीं है तो बस अपने फ़ायरवॉल syslogs को डिबग मोड में देख लें। और यह सिर्फ एक उपकरण से है! एक CRM प्रक्रिया इन लॉग फ़ाइलों को तार्किक घटनाओं की एक श्रृंखला में डालती है जो समझ में आता है कि क्या हुआ, समझने में बहुत आसान है।

कैसे की एक बेहतर समझ के लिए शुरू करने के लिए, यह प्रवेश के तरीकों का अध्ययन करने के लिए उपयोगी है ।

यह जानना भी उपयोगी है कि वायरस कैसे लिखा जाता है। या रूटकिट कैसे लिखें ।

यह एक हनीपोट को सेटअप और अध्ययन करने के लिए भी बेहद फायदेमंद हो सकता है ।

यह भी एक लॉग पार्सर है और इसके साथ कुशल बनने में मदद करता है।

यह आपके नेटवर्क और सिस्टम के लिए आधार रेखा इकट्ठा करने में सहायक है। आपकी स्थिति में "सामान्य" ट्रैफ़िक बनाम "असामान्य" ट्रैफ़िक क्या है?

CERT के पास एक उत्कृष्ट मार्गदर्शिका है कि आपके कंप्यूटर को हैक होने के बाद क्या करना है, सबसे विशेष रूप से (जो सीधे आपके विशिष्ट प्रश्न से संबंधित है) "घुसपैठ का विश्लेषण करें" पर अनुभाग:

  • सिस्टम सॉफ़्टवेयर और कॉन्फ़िगरेशन फ़ाइलों के लिए किए गए संशोधनों को देखें
  • डेटा में संशोधन के लिए देखो
  • घुसपैठिए द्वारा पीछे छोड़े गए उपकरण और डेटा देखें
  • लॉग फ़ाइलों की समीक्षा करें
  • नेटवर्क स्निफर के संकेतों को देखें
  • अपने नेटवर्क पर अन्य प्रणालियों की जाँच करें
  • दूरस्थ साइटों पर शामिल या प्रभावित सिस्टम की जाँच करें

आपके जैसे कई सवाल हैं जो SF पर पूछे गए हैं:

  1. कैसे करें सर्वर हैक का पोस्टमार्टम
  2. होस्ट फ़ाइल और नेटस्टैट में अजीब आइटम
  3. क्या यह हैक प्रयास है?
  4. मैं हैकिंग या सुरक्षा के दृष्टिकोण से लिनक्स कैसे सीख सकता हूं

यह एक अत्यंत जटिल और शामिल प्रक्रिया हो सकती है। ज्यादातर लोग, जिनमें मैं शामिल था, सिर्फ एक सलाहकार को काम पर रखूंगा, अगर इसमें कोई भी शामिल हो सकता है जो कि मेरे एमएमजी उपकरणों को एक साथ रख सकता है।

और, जाहिर है, अगर आप कभी पूरी तरह से समझना चाहते हैं कि आपके सिस्टम को कैसे हैक किया गया था, तो आपको उन्हें अध्ययन करने और महिलाओं को छोड़ने के लिए साल बिताने होंगे ।

GregD
स्रोत
+1 जमीन पर बिछाने के लिए इससे पहले कि यह कोलम्बिया के साथ होता है
रोब मोइर
माफ़ करना। मेरा जवाब इस समय सभी तरह का है। मैंने इसे 04:00 बजे लिखना शुरू किया और मेरी कॉफी IV को अभी तक नहीं लगाया गया है।
ग्रेग
2

इसका एक छोटा सा जवाब एक लाख मील चौड़ा और ऊंचा हो सकता है, और एक हैक किए गए सर्वर के साथ जो कुछ हुआ वह लगभग एक आर्टफ़ॉर्म हो सकता है जितना कुछ और हो सकता है, इसलिए फिर से मैं एक निश्चित सेट के बजाय शुरुआती बिंदु और उदाहरण दूंगा। चरणों का पालन करने के लिए।

एक बात का ध्यान रखें कि एक बार घुसपैठ का सामना करने के बाद आप अपने कोड, अपने सिस्टम प्रशासन / कॉन्फ़िगरेशन और प्रक्रियाओं को इस ज्ञान के साथ अंकेक्षण कर सकते हैं कि वहाँ निश्चित रूप से कमजोरी है। यह एक सैद्धांतिक कमजोरी की खोज से अधिक प्रेरणा को चलाने में मदद करता है जो हो सकता है या नहीं भी हो सकता है। काफी बार लोग ऑनलाइन सामान डालते हैं, जबकि कोड जानने के लिए थोड़ा कठिन ऑडिट किया जा सकता था, अगर हमारे पास केवल समय होता; या सिस्टम थोड़ा और मजबूती से बंद हो गया, अगर केवल यह इतना असुविधाजनक नहीं था; या प्रक्रियाओं ने थोड़ा तंग किया, यदि केवल लंबे पासवर्ड याद रखने के लिए बॉस के लिए ऐसा कोई परेशान नहीं था। हम सभी जानते हैं कि हमारे सबसे कमजोर स्पॉट कहां हैं, इसलिए उन लोगों के साथ शुरू करें।

एक आदर्श दुनिया में आपके पास एक अलग (उम्मीद से समझौता नहीं) syslog सर्वर पर संग्रहीत लॉग होंगे , न केवल सर्वर से, बल्कि किसी भी फ़ायरवॉल, राउटर आदि से, जो ट्रैफ़िक भी लॉग करते हैं। नेसस जैसे उपकरण भी उपलब्ध हैं जो एक प्रणाली का विश्लेषण कर सकते हैं और कमजोरियों की तलाश कर सकते हैं।

तृतीय पक्षों के सॉफ़्टवेयर / फ़्रेमवर्क के लिए, अक्सर ऐसी सर्वोत्तम अभ्यास मार्गदर्शिकाएँ होती हैं, जिनका उपयोग आप अपनी परिकल्पना का ऑडिट करने के लिए कर सकते हैं, या आप सुरक्षा समाचारों और पैचिंग शेड्यूल पर अधिक ध्यान दे सकते हैं और कुछ छेदों का उपयोग कर सकते हैं, जिनका उपयोग किया जा सकता है।

अंत में, अधिकांश घुसपैठ एक जगह छोड़ देते हैं ... यदि आपके पास इसे खोजने के लिए समय और धैर्य है। "ड्राइव बाय" स्क्रिप्ट किडी घुसपैठ या हैकिंग टूलकिट का उपयोग करके इन्स को तोड़ना सामान्य कमजोरियों पर ध्यान केंद्रित करता है और एक पैटर्न छोड़ सकता है जो आपको सही दिशा में इंगित करता है। विश्लेषण करने के लिए सबसे कठिन बात एक मैनुअल निर्देशित घुसपैठ हो सकती है (जैसे कि कोई व्यक्ति "वेबसाइट" हैक नहीं करना चाहता था, बल्कि विशेष रूप से "आपकी" वेबसाइट को हैक करना चाहता था), और निश्चित रूप से ये समझने के लिए सबसे महत्वपूर्ण चीजें हैं।

किसी के लिए जो वास्तव में नहीं जानता है कि कहां से शुरू करें (या यहां तक ​​कि अनुभवी लोगों के लिए जिनके पास अन्य कर्तव्य हैं) पहला कदम संभवत: उपरोक्त चरणों के अच्छे अनुभव वाले किसी व्यक्ति को नियुक्त करना है। उस दृष्टिकोण का एक और लाभ यह है कि वे आपके सेटअप को बिना किसी पूर्व धारणा या उत्तर में व्यक्तिगत हिस्सेदारी के देख रहे होंगे।

रोब मोइर
स्रोत
1
+1 वास्तव में मैं जोड़ूंगा कि रोकना बेहतर है फिर लड़ना, इसका मतलब यह भी है कि केवल एक दिन को रोकना होगा। इसलिए पहली नज़र में यह महत्वपूर्ण है कि समस्या निवारण को सरल बनाने और प्रभावों को कम करने की रणनीति बनाई जाए।
tmow
1

"मुझे पता है कि आप सर्वर लॉग फ़ाइलों में देख सकते हैं, लेकिन एक हमलावर के रूप में पहली चीज जो मैं करूंगा वह लॉग फ़ाइलों के लिए गलत होगा।"

समझौते के प्रकार के आधार पर, हमलावर के पास लॉग को मिटाने में सक्षम होने के लिए समझौता किए गए सर्वर पर पर्याप्त विशेषाधिकार नहीं हो सकते हैं। सर्वर लॉग को किसी अन्य सर्वर पर ऑफबॉक्स रखा जाना भी सबसे अच्छा अभ्यास है, ताकि छेड़छाड़ (निश्चित अंतराल पर स्वचालित रूप से निर्यात) को रोका जा सके।

समझौता किए गए सर्वर लॉग से परे, वहाँ अभी भी नेटवर्किंग लॉग (फ़ायरवॉल, राउटर, आदि) और साथ ही निर्देशिका सेवा से प्रमाणीकरण लॉग हैं, अगर एक है (सक्रिय निर्देशिका, रेडियस, ect)

इसलिए लॉग को देखना अभी भी सबसे अच्छी चीजों में से एक है जो किया जा सकता है।

जब एक समझौता बॉक्स के साथ काम करते हैं, तो लॉग्स के माध्यम से स्थानांतरण हमेशा एक साथ piecing के मेरे प्रमुख तरीकों में से एक होता है।

-जोश

जोश ब्राउन
स्रोत
मैंने पिछले सेमेस्टर के एक वर्ग के लिए कुछ बहुत ही सीमित लॉग विश्लेषण किया था। बड़े पैमाने पर लॉग फ़ाइल में आपको छेद कैसे मिलेगा? क्या आप अंतिम प्रविष्टियों को देखेंगे? आप संदिग्ध प्रविष्टियों की पहचान कैसे करेंगे?
साठफुटेरसूड
आप संदिग्ध प्रविष्टियों की पहचान कैसे करेंगे? आदर्श रूप से तुलना करने और / या उनकी जाँच करने के लिए लॉग हिस्ट्रीज़ को रखने से आदर्श रूप से यह जानने के लिए पर्याप्त है कि गैर-संदिग्ध प्रविष्टियाँ कैसी दिखती हैं, इसलिए आप सामान्य दिन-प्रतिदिन के सामान को समाप्त कर सकते हैं और जो कुछ बचा है उसे करीब से देख सकते हैं।
रॉब मोइर
1
मैं Moir से सहमत हूँ। सिसादमिन को सिस्टम को अच्छी तरह से जानना होगा कि वह जानता है कि एक सेवा कब चल रही है जो नहीं होनी चाहिए। कुछ संदिग्ध लॉग प्रविष्टियाँ वास्तव में खोजना आसान है क्योंकि उनके पास एक विशिष्ट हस्ताक्षर है जो वे छोड़ते हैं, (उदाहरण के लिए निमडा स्कैनिंग), जबकि अन्य लॉग प्रविष्टियों के साथ, केवल अधिक संदर्भ निर्धारित करेगा कि क्या यह वैध था या नहीं।
जोश ब्राउन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.