खींचो नेटवर्क या शक्ति? (एक रूट किए गए सर्वर को कंटीन्यू करने के लिए)

11

एक सर्वर निहित हो जाता है जब ( जैसे एक स्थिति इस तरह ), पहली चीजें हैं जो आप करना तय कर सकते हैं में से एक है रोकथाम । कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि तुरंत विमुद्रीकरण दर्ज न करें और फॉरेंसिक पूरा होने तक सर्वर को ऑनलाइन रखें। वे सलाह आमतौर पर एपीटी के लिए हैं । यदि आपके पास कभी-कभार स्क्रिप्ट किडी ब्रीच है, तो यह अलग है , इसलिए आप जल्दी से रीमेडिएट (चीजों को ठीक करने) का फैसला कर सकते हैं। रिमेडियेशन में चरणों में से एक सर्वर का नियंत्रण है। रॉबर्ट मोइर के जवाब से उद्धृत - "पीड़ित को अपने मुगर्स से अलग करें"।

एक नेटवर्क नेटवर्क केबल या पावर केबल खींचकर समाहित किया जा सकता है ।

कौन सा तरीका बेहतर है?

इसकी आवश्यकता को ध्यान में रखते हुए:

  1. पीड़ितों को और नुकसान से बचाना
  2. सफल फोरेंसिक का निष्पादन
  3. (संभवतः) सर्वर पर मूल्यवान डेटा की सुरक्षा

संपादित करें: 5 धारणाएं

मान लिया जाये कि:

  1. आपने जल्दी पता लगाया: 24 घंटे।
  2. आप जल्दी से ठीक होना चाहते हैं: 3 दिन 1 सिस्टम प्रशासन पर काम करता है (फोरेंसिक और रिकवरी)।
  3. सर्वर एक वर्चुअल मशीन या कंटेनर नहीं है जो सर्वर मेमोरी की सामग्री को कैप्चर करने के लिए स्नैपशॉट लेने में सक्षम है।
  4. आप मुकदमा चलाने का प्रयास नहीं करने का फैसला करते हैं।
  5. आपको संदेह है कि हमलावर कुछ प्रकार के सॉफ़्टवेयर (संभवतः परिष्कृत) का उपयोग कर रहा होगा और यह सॉफ़्टवेयर अभी भी सर्वर पर चल रहा है।
rootkit  security 
Aleksandr Levchuk
स्रोत
2
: आप यहाँ से ड्रॉप करना चाह सकते हैं, बहुत security.stackexchange.com
sysadmin1138
टॉम ओ'कॉनर
2
@ टॉम - यह एक ठग नहीं है, यह उस सवाल से एक विशिष्ट बिंदु का विस्तार चर्चा है।
mfinni
3
@ sysadmin1138, विशेष रूप से सुरक्षा का
AviD
जॉन गार्डनियर्स

जवाबों:

6

यदि आप एपीटी का सामना कर रहे हैं, तो आपका सबसे अच्छा विकल्प एक हनीपॉट स्थापित करना है और सर्वर की निगरानी के अलावा, इसमें से निकलने वाले सभी ट्रैफ़िक की पूरी तरह से जांच करना है।

स्मृति के माध्यम से जाने का उपाय समय और प्रयास के संदर्भ में इतना महंगा है कि यह आमतौर पर तब तक सार्थक नहीं होता जब तक आप हर दूसरे तरीके की कोशिश नहीं करते हैं, और यदि आप यह निर्धारित करते हैं कि यह सार्थक है, तो यह आमतौर पर एक हनीपॉट स्थापित करना है जो आपको आसानी से डंप करने की अनुमति देता है मेमोरी और सिस्टम एक और मशीन के लिए उड़ान भरता है ताकि आप मशीन के उठने और चलने के दौरान कम खतरे का विश्लेषण कर सकें।

मेरे पास एक स्थिति थी जहां हमलावर ने स्मृति में सब कुछ इस हद तक रखा कि, लॉग को छोड़कर, मशीन बिल्कुल अपनी छवि की तरह दिखती थी एक बार संचालित और वापस। वे तब वापस हैक करेंगे और फिर से इसका उपयोग करना शुरू कर देंगे क्योंकि भेद्यता अभी भी थी - उन्हें खुद के लिए कोई बैकडोर छोड़ने की आवश्यकता नहीं थी। एक मेमोरी मूल्यांकन यहां मदद कर सकता था, लेकिन ट्रैफ़िक को देखना इस मामले में पर्याप्त था ताकि भेद्यता को जल्दी से पहचाना जा सके।

इसलिए:

शक्ति को खींचने और ऑफलाइन डिस्क मूल्यांकन करने से बचने का एकमात्र कारण यह है कि यदि आप खतरे की स्मृति विश्लेषण करने के दर्द से गुजर रहे हैं, जबकि यह जगह और संचालन में है। यदि आप उस बिंदु पर पहुंच गए हैं जहां यह आवश्यक है, तो प्लग को खींचने का कोई कारण नहीं है।

यदि आप मेमोरी विश्लेषण नहीं कर रहे हैं, तो पावर प्लग को खींचना आपका सबसे अच्छा दांव है - ईथरनेट को खींचना (या शटडाउन कमांड का उपयोग करना) केवल हमलावर के सॉफ़्टवेयर अग्रिम सूचना देने वाला है - जो कभी-कभी मायने रखता है।

इसलिए:

जब तक आप स्मृति विश्लेषण नहीं कर रहे हों, तब तक उन दोनों को खींचिए, इस स्थिति में, या तो खींचिए मत।

एडम डेविस
स्रोत
16

रैम फोरेंसिक (जैसे / देव / शम) सहायक हो सकता है।

लेकिन मैं पावर केबल को अनप्लग करना पसंद करता हूं (लेकिन सही से पहले लॉग-इन और rsync / proc की कोशिश करें)।

बिजली केबल के लिए जाने के कारण हैं:

  1. जब आप एक हैक किए गए सिस्टम में फोरेंसिक करते हैं, तो आप "सभी अपराध स्थल पर कदम रख रहे हैं"
  2. रूट किट चालू रहता है - नेटवर्क लिंक डाउन घटना पर कुछ (जैसे सिस्टम वाइप-आउट) निष्पादित करने के लिए दुर्भावनापूर्ण के लिए इतना कठिन नहीं है ।

काइल रैनकिन ने फोरेंसिक टॉक को एक अच्छा परिचय दिया - वहां वह पावर केबल खींचने की सलाह देता है।

हांग्जो लेवचुक
स्रोत
"अपराध स्थल पर सभी कदम रखने" के लिए +1। जब तक आप वास्तव में नहीं जानते कि आप क्या कर रहे हैं, या वास्तव में सटीक फोरेंसिक साक्ष्य एकत्र करने की परवाह नहीं करते हैं, तब तक आप विशेषज्ञों से कॉल करना चाह सकते हैं बजाय सबूतों को प्रदूषित करने के कि आप कैसे फोरेंसिक सीखते हैं ...
dunxd
10

नेटवर्क डिस्कनेक्ट करें। यदि कोई नेटवर्क कनेक्शन नहीं है, तो हमलावर किसी भी अतिरिक्त जानकारी को खींच नहीं सकता है। यह बहुत कठिन है (पढ़ें: असंभव) किसी भी फोरेंसिक को शक्ति के बिना करना।

जेसन बर्ग
स्रोत
3
आप (और शायद) को ऑफ-लाइन (ए) से फॉरेंसिक को लाइव सीडी के माध्यम से कर सकते हैं, (बी) हार्ड ड्राइव को एक अलग सिस्टम में ले जाकर, या (सी) प्रभावित हार्ड ड्राइव की छवियों (लाइव सीडी के माध्यम से) के बाद ।
हांग्जो लेवचुक
3
स्मृति में अक्सर उपयोगी साक्ष्य होते हैं। किसी भी बिजली के नुकसान की सलाह देने से पहले इसके लिए अनुमति दी जानी चाहिए।
सेरेक्स
सुरक्षा द्वारा LOM इंटरफ़ेस को डिस्कनेक्ट करने के लिए भी सोचें :)
केदार
7

इस दिन और उम्र में, यह एक वर्चुअल मशीन हो सकती है, इसलिए या तो विधि आसान है और दूर से भी किया जा सकता है। (आभासी मशीनें स्नैपशॉट के उपयोग की संभावना को जन्म देती हैं, भी, निश्चित रूप से)

मैं सुझाव दूंगा कि नेटवर्क से एक स्वचालित पहला कदम के रूप में डिस्कनेक्ट हो, क्योंकि इससे आपको यह सोचने का समय मिलता है कि अगला कदम क्या होना चाहिए, क्या वह अगला कदम पावर कॉर्ड या कुछ और है। यदि आप जानते हैं कि आपकी कॉर्पोरेट "सुरक्षा प्रतिक्रिया प्रक्रियाएं" आपको मशीन के माध्यम से खुदाई में समय व्यतीत करने की अनुमति नहीं देंगी तो रैम की सामग्री को संरक्षित करना उतना महत्वपूर्ण नहीं हो सकता है।

मेरा सुझाव है कि किसी भी तरीके से "पीड़ित को इससे अलग करना" हो जाना, कैसे की तुलना में अधिक महत्वपूर्ण है, इसलिए दोनों दृष्टिकोण मान्य हैं। मुझे पॉवरकोर्ड को खींचने में कोई समस्या नहीं है, मैं इसे इस तरह से रखने देता हूं।

रोब मोइर
स्रोत
वीएम के लिए +1। यदि आप नेटवर्क को अनप्लग करते हैं, तो रूटकिट चलती रहती है - नेटवर्क लिंक डाउन इवेंट में किसी चीज़ को निष्पादित करने के लिए दुर्भावनापूर्ण नहीं है (जैसे सिस्टम मिटा देना)
Aleksandr Levchuk
6
रनिंग सिस्टम स्टेट का स्नैपशॉट एक ऐसा बेहतरीन आइडिया है जिसके बारे में न सोच पाने के लिए मैं खुद पर नाराज हूं।
jgoldschrafe
@Alexsandr - मैं वास्तविक उदाहरण के बारे में सोचने की कोशिश कर रहा हूं और मैं एक रिक्त को आकर्षित कर रहा हूं, लेकिन मुझे एक रूटकिट याद आता है जो पूरी तरह से स्मृति में रहता है इसलिए जब प्लग खींचा जाता है तो वह खो जाएगा। मुझे लगता है कि यह किसी भी तरह से सबूत खोने का खतरा है।
रॉब मोइर
6

यह या तो / या स्थिति नहीं है। आप आम तौर पर दोनों करना चाहते हैं - आप कुछ फोरेंसिक्स (चलने की प्रक्रिया के डंप, सुनने के सॉकेट, फ़ाइलें / tmp, आदि) एक सिस्टम पर करना चाहते हैं जो नेटवर्क से हटा दिया गया है, और फिर एक सुरक्षित से अपने शेष निदान का प्रदर्शन करें पर्यावरण (यानी एक लाइव सीडी)। ऐसी स्थितियां हैं जहां न तो दृष्टिकोण सही है, हालांकि, और आपको इस बारे में सोचने और समझने की आवश्यकता है कि आपके संगठन में क्या हो सकता है।

jgoldschrafe
स्रोत
यदि आप नेटवर्क को अनप्लग करते हैं, तो रूटकिट चलता रहता है - दुर्भावनापूर्ण कोड के लिए इतना मुश्किल नहीं है कि वह नेटवर्क लिंक डाउन ईवेंट पर कुछ (जैसे सिस्टम वाइप-आउट) निष्पादित कर सके ।
अलेक्सांद्र लेवचुक
यह निश्चित रूप से सच है, और यह मौका है कि आपको मूल्यांकन करना है और तय करना है कि क्या आप स्थिति की संवेदनशीलता के आधार पर लेना चाहते हैं। कुछ रूटकिट केवल मेमोरी में निवासी हैं, और यदि आप सिस्टम को पावर मारते हैं, तो आप यह पता लगाने के किसी भी अवसर को समाप्त करते हैं कि यह वहां कैसे मिला। आप लिंक स्थिति को बनाए रखते हुए स्विच पोर्ट से ट्रैफ़िक को रोकने का प्रयास कर सकते हैं, लेकिन कोई भी रूटकॉक सॉफ़्टवेयर है और जो कुछ भी अन्य सॉफ़्टवेयर कर सकता है - वह कर सकता है - डिफ़ॉल्ट गेटवे की जांच करने और उन्हें एक ही बम को सेट करने से कुछ भी नहीं रखा जा सकता है अगर यह पहुंच से बाहर है।
jgoldschrafe
4

इससे पहले कि आप कुछ भी करें, अगर आपको एक अभियोजन पक्ष के लिए सबूतों को संरक्षित करने की आवश्यकता है। साक्ष्य संभालना एक बहुत ही मुश्किल विषय है और बेहोश-प्रशिक्षित के लिए नहीं। एक बार आपने जवाब दे दिया, तो प्रशिक्षित कंप्यूटर फोरेंसिक व्यक्ति इसे वहां से ले जा सकता है।

sysadmin1138
स्रोत
1
पहले, मुझे लगता है कि किसी को प्रॉसिक्यूट या नहीं तय करना चाहिए ? । अपनी बात में काइल रंकिन ( goo.gl/g21Ok )। इस पर चर्चा शुरू करता है। मुकदमा चलाने के लिए किसी को पर्याप्त मौद्रिक नुकसान का सबूत देना होगा।
हांग्जो लेवचुक
1
@ अलेक्जेंडर आमतौर पर आपको इस प्रक्रिया में बहुत पहले से जानने की जरूरत होती है कि आप समझौता किए गए हार्डवेयर और डेटा का फिर से उपयोग कर सकते हैं या नहीं, या फिर आपको इसे वेयरहाउस करना होगा और पूरी तरह से नए भागों से एक नई प्रणाली का निर्माण करना होगा। इससे पहले कि आप वित्तीय या व्यावसायिक प्रतिष्ठा के नुकसान को साबित कर सकें, इसकी बहुत संभावना है। साक्ष्य श्रृंखला को संरक्षित करने के लिए उस क्षण की आवश्यकता होती है जब कोई महसूस करता है कि संभावित रूप से कार्रवाई योग्य घटना हुई है।
sysadmin1138
अक्सर विकल्पों को फिर से शुरू करने के साथ शुरू करने के लिए सबसे अच्छा है या नहीं, क्योंकि आप नहीं जानते कि मौद्रिक नुकसान मौजूद है, इसलिए शुरुआती चरणों में, पुस्तक द्वारा सब कुछ करना, हिरासत की श्रृंखला को बनाए रखना महत्वपूर्ण है।
रॉरी अलसॉप
3

सर्वर से बिजली बंद करने की आवश्यकता नहीं है। आप बस सीमा गेटवे / राउटर से कनेक्टिविटी को अक्षम कर सकते हैं। एक फ़ायरवॉल नियम किसी भी भेजे गए / प्राप्त पैकेट को छोड़ने के लिए पर्याप्त होगा।

खालिद
स्रोत
+1 यह एक कारण है कि एक प्रवेश द्वार एक अच्छा विचार है। लेकिन क्या होगा अगर आपके पास एक नहीं है? यदि आप डायरेक्ट नेटवर्क केबल को अनप्लग करते हैं - तो रूटकिट नेटवर्क लिंक डाउन ईवेंट प्राप्त कर सकता है । और रूट किए गए सर्वर पर लॉग-इन नहीं किया जा रहा है और दिन 0 पर कुछ करना एक बुरा विचार है?
हांग्जो लेवचुक
2

इसका उत्तर काफी हद तक इस बात पर निर्भर करता है कि आप "मूल" से क्या मतलब रखते हैं। नेटवर्क लीड को खींचना आमतौर पर एक अच्छा विचार है, अगर आपको लगता है कि यह एक सक्रिय मानव हमलावर था जो संवेदनशील जानकारी की तलाश में था।

शक्ति खींचना जवाब देने के लिए बहुत कठिन है। यदि आपको लगता है कि कोई दुर्भावनापूर्ण कोड चल रहा है जो इसके ट्रैक्स को कवर कर सकता है, तो ऐसा करें। हालांकि अगर आपको लगता है कि स्मृति में अभी भी एक विराम का सबूत हो सकता है, तो इसे छोड़ दें।

कुल मिलाकर, यह निर्भर करता है कि आप दुर्भावनापूर्ण कोड, असंतुष्ट कर्मचारी या किसी विशिष्ट लक्ष्य को ध्यान में रखते हुए काम कर रहे हैं।

यदि सावधानी के साथ गलती हो रही है, तो शक्ति खींचें। आप संभावित सबूतों की एक छोटी राशि खो देंगे, लेकिन स्वचालित कोड द्वारा अन्य सबूतों के बड़े पैमाने पर हटाने को रोक सकते हैं।

- फिर, यदि आपको लगता है मशीन समझौता किया गया है और आप जानते हैं कि यह उस पर कोई संवेदनशील डेटा है, तो आप कर रहे हैं बहुत अपने नेटवर्क सुरक्षा का पूरा भरोसा कहीं और है और ऐसा करने के परिणामों को समझने, शायद asap में एक फोरेंसिक बोफिन हो और देखें कि क्या आप हमले का पता लगा सकते हैं या समझ सकते हैं और वहां से जा सकते हैं। हालांकि यह आम तौर पर एक अच्छा विचार नहीं है

Sirex
स्रोत
1

मेरा उत्तर 5 मान्यताओं के साथ, संपादन से पहले था।
मेरी धारणा यह थी कि यदि आपका सर्वर जड़ गया है, तो आप एक परिष्कृत, लक्षित हमलावर के साथ काम कर रहे हैं, और यह जानने का कोई तरीका नहीं है कि हमला कब और कहां से हुआ। (चूंकि मशीन रूट की गई थी, जाहिर है कि आप इसे बताए गए किसी भी चीज पर भरोसा नहीं कर सकते। हालांकि, आपके पास कुछ ऑफ-बॉक्स जानकारी हो सकती है, जैसे आईडीएस ...)
मैंने यह भी मान लिया कि आपको अपने हमलावर से निपटने में दिलचस्पी है, न कि सिर्फ लहराते हुए एक परेशान मक्खी की तरह उसे दूर। यदि हमलावर हमलावर एक स्क्रिप्ट किडी है, तो यह अलग होगा। मैंने यह भी मान लिया कि, चूंकि हमलावर को लक्षित और परिष्कृत किया गया है, इसलिए संभावना है कि उनके पास आपकी मशीन पर चलने वाले कस्टम सॉफ़्टवेयर हैं, जो उस पर आपके कार्यों का जवाब दे सकते हैं ...

न तो।
की जाँच करें /security//q/181/33 किसी भी तरह से अपने एक बुरा विचार,।
यह ब्लैक नाइट के लिए एक दो बन्दे को देने जैसा है ... बहुत कम, बहुत देर से, यह बहुत मदद करने वाला नहीं है।

उन सभी के लिए जो महसूस करते हैं कि यह उत्तर बहुत दूर है, या बस "सुरक्षा-सचेत" पर्याप्त नहीं है - आपको यह महसूस करने की आवश्यकता है कि यह पहले से ही बहुत देर हो चुकी है
यह आपका सर्वर नहीं है, भले ही आप इसे पूरी तरह से डिस्कनेक्ट कर दें। यहां तक ​​कि अगर आप शट डाउन करते हैं, तो अपने सभी एवी को चलाएं और जो भी - आप इसे अब खुद नहीं करते हैं, वे करते हैं।
कि "निहित" की परिभाषा थोड़े है।

अब, यह मानते हुए कि वे इसके मालिक हैं, और अपने स्वामित्व को आपसे छिपा सकते हैं, आपको इस पर विचार करने की आवश्यकता है - क्या इसे अस्वीकार कर देगा? केवल बात यह है कि यह प्राप्त होगा - के बाद से यह परवाह किए बिना निहित किया जाता रहेगा - अपने विरोधी पता है कि तुम उन पर हों, तो कृपया है। जो बस अपने गार्ड को ऊपर रखता है, और उन्हें खुद के बाद सफाई शुरू करने के लिए मिलता है (यदि वे पहले से ही नहीं है), जो कि फोरेंसिक की किसी भी आशा को मार देगा। आप अभी भी उस सर्वर, या उसके किसी डेटा की सुरक्षा नहीं कर रहे हैं। कितना समय हो गया है की गई जड़ें? आप कैसे जानते हैं?

क्या आप बेहतर कर रहे हैं:

  • सर्वर को छोड़ कर चला जा रहा है ...
  • इसे अपने बाकी आंतरिक नेटवर्क, अन्य सर्वरों आदि से अलग करें - लेकिन किसी प्रकार के सिमुलेशन में प्लग करना सबसे अच्छा है, इसलिए यह जुड़ा हुआ लगता है
  • वास्तविक रूप से प्रारंभ / नेटवर्क फोरेंसिक, रन निशान, आदि।
  • कोशिश करें और क्षति की सीमा और लंबाई का पता लगाएं (जाहिर है कि यह अलग है अगर यह 2 घंटे पहले, या 2 महीने पहले खुश हो जाए)।
  • वहाँ से जारी रखें ... वास्तविक क्षति को कम करने के बाद ही आगे बढ़ें और इसे साफ करें।
  • बेशक, मूल कारणों की जांच करना न भूलें, और यह सुनिश्चित करने के लिए जो भी नियंत्रण होता है उसे फिर से लागू न करें ...
उत्सुक
स्रोत
2
मुझे लगता है कि यह एक ऐसी स्थिति में काम कर सकता है जहां आप इसे तेजी से एक नकली / पृथक वातावरण में स्थानांतरित कर सकते हैं, लेकिन बहुत कम संगठन ऐसा कर सकते हैं कि वास्तव में वे चीजों के 'न्यूनतम प्रभाव' पक्ष के लिए जाना चाहते हैं, इसलिए शक्ति या नेटवर्क को अनप्लग करें अक्सर उस खतरे को तत्काल दूर करता है। (अभी भी + 1'एड के रूप में आप चाहते हैं कि मैं इस तरह था :-)
रोरी अलसोप
@Rory समस्या यह है कि आप प्रभाव को कम नहीं कर सकते , सर्वर पहले से ही बंद है। आपको वह वापस नहीं मिल रहा है, और किसी भी संवेदनशील डेटा को संभावित रूप से भी चुराया जाता है, क्योंकि आप नहीं जानते कि उनकी कितनी देर तक पहुंच है। उस ने कहा, सिम्युलेटेड वातावरण सिर्फ आइसिंग है, यह अलगाव के लिए महत्वपूर्ण है - और मेरा मानना ​​है कि अधिकांश संगठनों के पास एक ठोस फ़ायरवॉल है, कुछ एक्सेस नियमों को फ्लिप करें और आप सोना हैं। यह एक और कारण है कि सुलभ सर्वर एक DMZ में होना चाहिए - उस भाग को आसान बनाता है ....
AviD
इसके अलावा, मैं कुछ स्पष्ट करना चाहता हूं - उपरोक्त लागू होता है जब ओएस जड़ होता है । यदि आपकी वेबसाइट में कुछ स्तर के अनुप्रयोग भेद्यता (जैसे SQL इंजेक्शन) का शोषण किया जा रहा है, तो ABSOLUTELY इसे बंद कर देता है और उन सभी तारों को खींच लेता है जिन पर आप अपना हाथ रख सकते हैं! लेकिन ओएस रूट अलग है - वे आपकी मशीन के पूरे बुनियादी ढांचे को नियंत्रित करते हैं। अब आपका कोई नियंत्रण नहीं है।
एवीडी
2
नहीं, मेरा मतलब है कि उस जड़ वाली मशीन से परे प्रभाव को कम से कम किया गया था। मैं मानता हूं कि यह पूरी तरह से खो गया है, लेकिन जब तक आप इसे जल्दी से अलग नहीं कर सकते, आपके पास यह जानने का कोई तरीका नहीं है कि नियंत्रक आपके बाकी सिस्टम के लिए क्या कर सकता है
रोरी अलसोप
0

अपनी मान्यताओं की समीक्षा करने के बाद दोनों करते हैं। वर्तमान स्थिति को डंप करने के लिए सीडी / डीवीडी आधारित मीडिया का उपयोग करें। मुख्य रूप से आप चाहते हैं कि आप कैसे समझौता कर सकते हैं। आप उपयोगकर्ता डेटा को अपनी बैकअप छवियों पर नहीं पुनर्प्राप्त करने का प्रयास करना चाहते हैं। यो

फिर नवीनतम बैकअप मीडिया से सिस्टम को फिर से बनाएं जो दूषित नहीं है। यदि संभव हो तो जाँच के साथ इसे सत्यापित करें। वैकल्पिक रूप से, इंस्टॉलेशन मीडिया से सॉफ़्टवेयर को फिर से इंस्टॉल करें और फिर से कॉन्फ़िगर करें। यदि आप अपने सर्वर को कॉन्फ़िगर करने के लिए कठपुतली या cfEngine का उपयोग कर रहे हैं तो रीकॉन्फ़िगरेशन स्वचालित होना चाहिए।

उपयोगकर्ता डेटा को पुनः लोड करें और रूट किट घटकों के लिए स्कैन करें। सत्यापित करें कि आपके पास डेटा निर्देशिकाओं में कोई सेट्यूड या सेटगिड प्रोग्राम नहीं है।

सिस्टम को संक्रमित करने के लिए उपयोग की जाने वाली विधि का निर्धारण और बंद करें। अनुप्रयोगों को सत्यापित करने के लिए समय की अनुमति देने वाले सर्वर की स्टेज पुनर्सक्रियण अपेक्षित रूप से चल रहा है। नए संक्रमण प्रयासों के लिए सावधानीपूर्वक निगरानी करें।

यह सभी मानता है कि संक्रमण जड़ स्तर पर है। वेब सर्वर द्वारा चलाए जाने वाले कोड को बदलकर वेब संक्रमण किया जा सकता है। वेब सर्वर को उसके कोड तक पहुंच की अनुमति देने से यह अधिक आसानी से हो सकता है। आप अभी भी इस मामले का इलाज करना चाह सकते हैं जैसे कि रूट खाते से समझौता किया गया है।

यदि एक सिस्टम पर रूट को एक सिस्टम पर समझौता किया गया है, तो आपके पास अधिक सिस्टम से समझौता हो सकता है। संक्रमित सिस्टम से पासवर्ड के बिना कौन से सिस्टम एक्सेस किए जा सकते हैं, इस पर सावधानी से विचार करें।

बिल थोर को दर्शाता है
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.