हैक होने के बाद लिनक्स बॉक्स के फोरेंसिक विश्लेषण के लिए मुख्य कदम क्या हैं?

हैक होने के बाद लिनक्स बॉक्स के फोरेंसिक विश्लेषण के लिए मुख्य कदम क्या हैं?

बता दें कि यह एक सामान्य लिनक्स सर्वर मेल / वेब / डेटाबेस / ftp / ssh / samba है। और यह स्पैम भेजना शुरू कर दिया, अन्य प्रणालियों को स्कैन कर रहा था .. हैक करने के तरीकों की खोज कैसे शुरू करें और कौन जिम्मेदार है?

रिबूट करने से पहले कुछ बातें यहां दी गई हैं:

सबसे पहले, अगर आपको लगता है कि आप अपने नेटवर्क केबल को अनप्लग कर सकते हैं तो मशीन आगे नुकसान नहीं कर सकती है।

फिर, यदि संभव हो तो रिबूट करने से बचना चाहिए , क्योंकि घुसपैठिए के कई निशान फिर से बूट करके निकाले जा सकते हैं।

यदि आपने आगे सोचा था, और जगह पर रिमोट लॉगिंग थी, तो मशीन पर अपने रिमोट लॉग का उपयोग करें, न कि उन सभी का, क्योंकि मशीन पर लॉग से छेड़छाड़ करना सभी के लिए बहुत आसान है। लेकिन अगर आपके पास रिमोट लॉग नहीं है, तो स्थानीय लोगों की अच्छी तरह से जांच करें।

Dmesg को चेक करें , क्योंकि यह रिबूट के साथ-साथ बदल दिया जाएगा।

लिनक्स में, रनिंग प्रोग्राम को डिलीट करना संभव है - रनिंग फाइल डिलीट होने के बाद भी। कमांड फ़ाइल / proc / [0-9] * / exe | grep "(हटाए गए)" के साथ इनकी जांच करें । (ये रिबूट पर गायब हो जाते हैं, निश्चित रूप से)। यदि आप डिस्क पर चल रहे प्रोग्राम की एक प्रति सहेजना चाहते हैं, तो / bin / dd का उपयोग करें यदि = / proc / filename / exe = फ़ाइल का नाम

यदि आप जानते हैं कि कौन / ps / ls / netstat की अच्छी प्रतियां हैं, तो इन उपकरणों का उपयोग करके यह जांच करें कि बॉक्स में क्या चल रहा है। ध्यान दें कि यदि एक रूटकिट स्थापित किया गया है, तो इन उपयोगिताओं को आमतौर पर प्रतियों के साथ बदल दिया जाता है जो सटीक जानकारी नहीं देंगे।

यह पूरी तरह से उस पर निर्भर करता है जिसे हैक किया गया था, लेकिन सामान्य तौर पर,

उन फ़ाइलों की टाइमस्टैम्प की जांच करें, जिन्हें अनुचित तरीके से संशोधित किया गया था, और उन समयों को सक्सेसफुल ssh (/ in / var / log / schem *) और ftp (in / var / log / vsftp * के साथ देखें) यदि आप vsftp का उपयोग सर्वर के रूप में कर रहे हैं) पता करें कि किस खाते से छेड़छाड़ की गई और किस आईपी से हमला हुआ।

आप यह पता लगा सकते हैं कि यदि खाता एक ही खाते पर बहुत सारे असफल लॉगिन प्रयास थे, तो यह खाता भंगुर-मजबूर था। यदि उस खाते के लिए कुछ या केवल असफल लॉगिन प्रयास नहीं थे, तो शायद पासवर्ड को कुछ अन्य तरीकों से खोजा गया था और उस खाते के मालिक को पासवर्ड सुरक्षा पर एक व्याख्यान की आवश्यकता होती है।

अगर आईपी कहीं पास से है तो यह "अंदर की नौकरी" हो सकती है

यदि रूट खाते से छेड़छाड़ की गई थी, तो निश्चित रूप से आप बड़ी परेशानी में हैं, और यदि संभव हो, तो सुधार करें और बॉक्स को जमीन से फिर से बनाएं। बेशक आपको वैसे भी सभी पासवर्ड बदलने चाहिए।

आपको रनिंग एप्लिकेशन के सभी लॉग की जांच करनी होगी। उदाहरण के लिए, अपाचे लॉग आपको बता सकता है कि कैसे एक हैकर आपके सिस्टम पर मनमानी कमांड निष्पादित कर सकता है।

यह भी जांचें कि क्या आपके पास ऐसी प्रक्रियाएं हैं जो सर्वर को स्कैन करती हैं या स्पैम भेजती हैं। यदि ऐसा है, तो जिस यूनिक्स उपयोगकर्ता से वे चल रहे हैं, वह आपको बता सकता है कि आपका बॉक्स कैसे हैक किया गया था। यदि यह www-data है तो आप जानते हैं कि यह Apache है, आदि।

विदित हो कि कभी-कभी कुछ कार्यक्रमों psको बदल दिया जाता है ...

Naaah!

आपको बंद करना चाहिए, हार्ड डिस्क को केवल पढ़ने के लिए इंटरफ़ेस से कनेक्ट करें (यह एक विशेष आईडीई या एसएटीए, या यूएसबी, आदि है ... इंटरफ़ेस जो किसी भी लिखने की अनुमति नहीं देता है, ऐसा कुछ: http: //www.forensic- computers.com/handBridges.php ) और डीडी के साथ एक सटीक डूप करें।

आप इसे किसी अन्य हार्ड ड्राइव पर कर सकते हैं, या आप इसे डिस्क छवि पर कर सकते हैं।

फिर, एक कठिन और पूरी तरह से सुरक्षित जगह पर उस हार्ड डिस्क में स्टोर करें, बिना किसी छेड़छाड़ के मूल प्रमाण है!

बाद में, आप उस क्लोन डिस्क, या छवि को अपने फोरेंसिक कंप्यूटर में प्लग कर सकते हैं। यदि यह एक डिस्क है, तो आपको इसे केवल पढ़ने के लिए इंटरफ़ेस के माध्यम से प्लग करना चाहिए, और यदि आप एक छवि के साथ काम करने जा रहे हैं, तो इसे 'केवल पढ़ने के लिए' माउंट करें।

फिर आप इस पर काम कर सकते हैं, बार-बार बिना किसी डेटा को बदले ...

FYI करें, अभ्यास के लिए इंटरनेट पर "हैक की गई" सिस्टम छवियां हैं, इसलिए आप "घर पर" फोरेंसिक कर सकते हैं ...

पुनश्च: हैक किए गए सिस्टम के बारे में क्या कहा गया है? अगर मुझे लगता है कि सिस्टम से छेड़छाड़ की गई है, तो मैं इसे जुड़ा नहीं छोड़ूंगा, मैं वहां एक नई हार्ड डिस्क रखूंगा, और एक बैकअप को पुनर्स्थापित करूंगा या फोरेंसिक खत्म होने तक एक नया सर्वर उत्पादन में डालूंगा ...

एक मेमोरी डंप लें और इसे एक मेमोरी फोरेंसिक टूल, जैसे कि सेकंड लुक के साथ विश्लेषण करें ।

आपको पहले खुद से पूछना चाहिए: "क्यों?"

यहाँ कुछ कारण हैं जो मेरे लिए मायने रखते हैं:

• क्षति का आकलन करें
• चित्रा कैसे वे में मिला
• निर्धारित करें कि क्या यह एक अंदर का काम था

इससे परे जाकर अक्सर समझ में नहीं आता है। पुलिस अक्सर परवाह नहीं करती है, और यदि वे करते हैं, तो वे आपके हार्डवेयर को लागू करेंगे और अपना स्वयं का फोरेंसिक विश्लेषण करेंगे।

आपको जो पता चलता है उसके आधार पर, आप अपने जीवन को आसान बनाने में सक्षम हो सकते हैं। यदि एक SMTP रिले से समझौता हो जाता है, और आप यह निर्धारित करते हैं कि यह एक बाहरी पार्टी द्वारा अनुपलब्ध पैच के कारण था, तो आप कर रहे हैं। बॉक्स को पुनर्स्थापित करें, पैचिंग की जो भी ज़रूरत है उसे पैच करें और आगे बढ़ें।

अक्सर जब "फोरेंसिक" शब्द को लाया जाता है, तो लोगों के पास सीएसआई के दर्शन होते हैं और जो कुछ हुआ उसके बारे में सभी प्रकार के उत्तेजक विवरणों के बारे में सोचते हैं। यह हो सकता है, लेकिन अगर आपके पास नहीं है तो इसे एक बड़ी लिफ्ट न बनाएं।

मैं अन्य प्रतिक्रियाओं को पढ़ता हूं, लेकिन मैं इसे संरक्षित करने के लिए एक भूत की छवि बनाऊंगा और केवल छवि की जांच करूंगा .... शायद ...

मैं SANS इंस्टीट्यूट के एक लेख " डेड लिनक्स मशीन्स टेल टेल टेल्स " को पढ़ने की अत्यधिक सलाह देता हूं । यह 2003 से है, लेकिन जानकारी आज भी मूल्यवान है।