To brzmi jak są w nieco ponad głową; to jest ok. Zadzwoń do swojego szefa i rozpocznij negocjacje w sprawie budżetu awaryjnego. $ 10,000 może być dobrym miejscem na początek. Następnie musisz poprosić kogoś (PFY, współpracownika, menedżera), aby zaczął dzwonić do firm specjalizujących się w reagowaniu na incydenty bezpieczeństwa. Wielu może odpowiedzieć w ciągu 24 godzin, a czasami nawet szybciej, jeśli mają biuro w Twoim mieście.

Potrzebujesz też kogoś do oceny klientów; niewątpliwie ktoś już jest. Ktoś musi być z nimi przez telefon, aby wyjaśnić, co się dzieje, co robi się, aby poradzić sobie z sytuacją i odpowiedzieć na ich pytania.

Więc musisz...

1. Spokojnie. Jeśli jesteś odpowiedzialny za reagowanie na incydenty, to co robisz teraz musi wykazać się najwyższym profesjonalizmem i przywództwem. Dokumentuj wszystko, co robisz, i informuj swojego menedżera i zespół wykonawczy o głównych działaniach, które podejmujesz; obejmuje to pracę z zespołem odpowiedzialnym, wyłączanie serwerów, tworzenie kopii zapasowych danych i przywracanie rzeczy online. Nie potrzebują krwawych szczegółów, ale powinni się odzywać co jakieś 30 minut.

2. Bądź realistą. Nie jesteś specjalistą od ochrony i są rzeczy, o których nie wiesz. W porządku. Logując się na serwery i przeglądając dane, musisz zrozumieć swoje limity. Stąpaj delikatnie. W trakcie dochodzenia upewnij się, że nie deptasz ważnych informacji lub nie zmieniasz czegoś, co może być potrzebne później. Jeśli czujesz się nieswojo lub zgadujesz, jest to dobre miejsce, aby zatrzymać się i uzyskać doświadczonego profesjonalistę, aby przejąć kontrolę.

3. Uzyskaj czysty dysk USB i zapasowe dyski twarde. Zbierzesz tu dowody. Twórz kopie zapasowe wszystkiego, co uważasz za istotne; komunikacja z dostawcą usług internetowych, zrzuty sieci itp. Nawet jeśli organy ścigania nie angażują się w to, w przypadku pozwu będziesz chciał, aby ten dowód udowodnił, że Twoja firma zajmowała się incydentem bezpieczeństwa w profesjonalny i odpowiedni sposób.

4. Najważniejsze jest, aby zatrzymać stratę. Identyfikuj i odcinaj dostęp do skompromitowanych usług, danych i maszyn. Najlepiej, należy wyciągnąć kabel sieciowy; jeśli nie możesz, a następnie wyciągnąć zasilanie.

5. Następnie musisz usunąć atakującego i zamknąć otwór(y). Prawdopodobnie atakujący nie ma już interaktywnego dostępu, ponieważ odłączyłeś sieć. Teraz musisz zidentyfikować, udokumentować (z kopią zapasową, zrzutami ekranu i własnymi osobiste notatki obserwacyjne; lub najlepiej nawet przez usunięcie dysków z dotkniętych serwerów i wykonanie pełnej kopii obrazu dysku), a następnie usunięcie dowolnego kodu i procesów, które zostawił. Ta następna część będzie do bani, jeśli nie masz kopii zapasowych; możesz spróbować rozplątać atakującego z systemu ręcznie, ale nigdy nie będziesz pewien, że masz wszystko, co zostawił. Rootkity są złośliwe i nie wszystkie są wykrywalne. Najlepszą odpowiedzią będzie zidentyfikowanie luki, której użył, aby dostać się do, wykonaj kopie obrazów uszkodzonych dysków, a następnie wyczyść uszkodzone systemy i przeładuj ze znanej dobrej kopii zapasowej. Nie ufaj ślepo kopii zapasowej; zweryfikuj ją! Napraw lub Zamknij lukę, zanim nowy host ponownie wejdzie do sieci, a następnie uruchom ją online.

6. Uporządkuj wszystkie swoje dane w raport. W tym momencie luka jest zamknięta i masz trochę czasu na oddech. Nie daj się skusić, aby pominąć ten krok; jest to nawet ważniejsze niż reszta procesu. W w raporcie musisz określić, co poszło nie tak, jak zareagował Twój zespół i kroki, które podejmujesz, aby zapobiec ponownemu wystąpieniu tego incydentu. Bądź tak szczegółowy, jak możesz; to nie tylko dla ciebie, ale dla Twojego kierownictwa i jako obrona w potencjalnym procesie sądowym.

To niebywały przegląd tego, co należy zrobić; większość prac to po prostu dokumentacja i obsługa kopii zapasowych. Nie panikuj, możesz to zrobić. Zdecydowanie zalecam Ci profesjonalną pomoc w zakresie bezpieczeństwa. Nawet jeśli poradzisz sobie z tym, co się dzieje, ich pomoc będzie nieoceniona i zazwyczaj przychodzą z wyposażeniem, aby proces był łatwiejszy i szybszy. Jeśli twój szef robi to kosztem, przypomnij mu, że jest to bardzo małe w porównaniu z obsługą pozwu.

Masz moje pocieszenie dla swojej sytuacji. Powodzenia.

CERT ma dokument Kroki do odzyskiwania po kompromisie systemu UNIX lub NT, który jest dobry. Szczegółowe dane techniczne tego dokumentu są nieco nieaktualne, ale wiele ogólnych porad nadal ma zastosowanie bezpośrednio.

Krótkie podsumowanie podstawowych kroków jest to.

• zapoznaj się z polityką bezpieczeństwa lub zarządzaniem.
• Get control (take the computer offline)
• przeanalizuj włamanie, uzyskaj logi, dowiedz się, co poszło nie tak
• Naprawa stuff
  • Zainstaluj czystą wersję swojego systemu operacyjnego!!! Jeśli system został naruszony, nie możesz mu ufać, kropka.
• Update systems so this can ' t happen again
• Wznów operacje
• zaktualizuj swoją politykę na przyszłość i dokument

Chciałbym zwrócić szczególną uwagę na sekcję E. 1.

E. 1. Należy pamiętać, że jeśli maszyna jest / align = "left" / mogły być modyfikowane, w tym jądro, binaria, pliki danych, uruchomionych procesów i pamięci. W Generale, jedynym sposobem na zaufanie, że maszyna jest wolna od backdoorów i intruder modyfikacje jest reinstall działanie

Jeśli nie masz już systemu takiego jak tripwire, nie ma możliwości, abyś miał 100% pewności, że wyczyściłeś system.

1. Zidentyfikuj problem. Przeczytaj dzienniki.
2. Contain . Odłączyłeś serwer, więc to koniec.
3. zlikwidować . Najprawdopodobniej ponownie zainstaluj ten system. Nie kasuj jednak dysku twardego zhakowanego, użyj nowego. Tak jest bezpieczniej, i możesz potrzebować starego, aby odzyskać brzydkie włamania, które nie były zabezpieczone, i zrobić badania, aby dowiedzieć się, co się stało.
4. Odzyskaj . Zainstaluj co jest potrzebne i odzyskaj kopie zapasowe do pozyskaj klientów online.
5. kontynuacja . Dowiedz się, w czym tkwi problem i zapobiegnij ponownemu wystąpieniu.

Odpowiedź Roberta "gorzka pigułka" jest trafna, ale całkowicie generyczna (cóż, tak jak twoje pytanie). Brzmi to tak, jakbyś miał problem z zarządzaniem i pilnie potrzebował pełnoetatowego sysadmina, jeśli masz jeden serwer i 600 klientów, ale to ci teraz nie pomoże.

Prowadzę firmę hostingową, która zapewnia trochę trzymania ręki w tej sytuacji, więc zajmuję się wieloma zagrożonymi maszynami, ale także zajmuję się najlepszymi praktykami dla naszych. Zawsze mówimy naszym skompromitowanym Klientom, aby odbudowali chyba, że nie są do końca pewni natury kompromisu. Nie ma innej odpowiedzialnej drogi w dłuższej perspektywie.

Jesteś jednak prawie na pewno tylko ofiarą skryptowego kiddy ' ego, który chciał podkładkę startową dla ataków DoS, lub bramkarzy IRC, lub czegoś zupełnie niezwiązanego z witrynami i danymi Twoich klientów. Dlatego jako środek tymczasowy podczas odbudowy możesz rozważyć uruchomienie ciężkiej zapory wychodzącej na twoim pudełku. Jeśli możesz zablokować wszystkie wychodzące UDP i Połączenia TCP, które nie są absolutnie niezbędne do funkcjonowania Twoich witryn, możesz łatwo sprawić, że Twoje skompromitowane pudełko stanie się bezużyteczne dla tego, kto je od Ciebie pożycza, i złagodzić wpływ na sieć Twojego dostawcy do zera.

Ten proces może potrwać kilka godzin, jeśli wcześniej tego nie robiłeś i nigdy nie brałeś pod uwagę zapory sieciowej, ale może pomóc w przywróceniu usługi klientów , ryzykując kontynuowanie dostępu atakującego do Danych Klientów. Skoro mówisz, że ty masz setki klientów na jednej maszynie, zgaduję, że hostujesz małe broszury dla małych firm, a nie 600 systemów e-commerce pełnych numerów kart kredytowych. W takim przypadku może to być akceptowalne ryzyko dla Ciebie i przywróć system do działania szybciej niż sprawdzenie 600 witryn pod kątem błędów bezpieczeństwa przed, zanim cokolwiek przywrócisz. Ale będziesz wiedział, jakie dane są tam i jak wygodne byłoby podjęcie tej decyzji.

To absolutnie nie jest najlepsze ćwiczyć, ale jeśli nie to się do tej pory działo u Twojego pracodawcy, machając palcem na nich i prosząc o dziesiątki tysięcy funtów dla zespołu SWAT za coś, co może czuć się twoją winą (jakkolwiek nieuzasadnione!) nie brzmi jak praktyczna opcja.

Pomoc Twojego ISP będzie bardzo ważna - niektórzy ISP zapewniają serwer konsoli i środowisko rozruchowe sieci (wtyczka, ale przynajmniej wiesz, jakiego rodzaju obiektu szukać), które pozwoli Ci administruj serwerem po odłączeniu od sieci. Jeśli jest to w ogóle opcja, poproś o to i użyj go.

Ale w dłuższej perspektywie powinieneś zaplanować przebudowę systemu na podstawie postu Roberta i audytu każdej witryny i jej konfiguracji. Jeśli nie możesz dodać sysadmin do swojego zespołu, poszukaj oferty managed hosting, w której płacisz dostawcy usług internetowych za pomoc sysadminning i 24-godzinną odpowiedź na tego typu rzeczy. Powodzenia:)

Musisz ponownie zainstalować. Zachowaj to, czego naprawdę potrzebujesz. Należy jednak pamiętać, że wszystkie uruchamiane pliki mogą być zainfekowane i manipulowane. Napisałem w Pythonie: http://frw.se/monty.py {[2] } który tworzy MD5-sumb wszystkich Twoich plików w danym katalogu i przy następnym uruchomieniu sprawdza, czy coś zostało zmienione, a następnie wypisuje, co zmieniło się w plikach i co zmieniło się w plikach.

To może być przydatne dla ciebie, aby sprawdzić, czy dziwne pliki są zmieniane regularnie.

Ale jedyną rzeczą, którą powinieneś teraz robić, jest usunięcie komputera z Internetu.

Uwaga: nie jest to zalecenie. Mój specyficzny Incident Response protocol prawdopodobnie nie nie ma zastosowania do przyznania sprawy unwin.

Pierwsze kroki w naszym gdy serwer zostanie naruszony protokół to:

1. Zidentyfikuj, że napastnik był w stanie aby uzyskać root (podwyższone uprawnienia)
2. odłącz dotknięte serwer(y). Sieć czy zasilanie? Proszę zobaczyć osobną dyskusję .
3. sprawdź wszystkie inne systemy
4. uruchom serwer (Y) Z live cd
5. (Opcjonalnie) Pobierz obrazy wszystkich dysków systemowych za pomocą dd
6. Zacznij badania pośmiertne. Przejrzyj dzienniki, znajdź czas ataku, Znajdź pliki, które zostały zmodyfikowane w tym czasie. Spróbuj odpowiedzieć na Jak?Pytanie.
   • równolegle, zaplanuj i wykonaj odzyskanie.
   • Zresetuj wszystkie hasła roota i użytkownika przed wznowieniem usługi

Nawet jeśli "wszystkie backdoory i rootkity są oczyszczone", nie ufaj temu systemowi-ponownie zainstaluj od zera.

Z mojego ograniczonego doświadczenia, kompromisy systemowe na Linuksie wydają się być bardziej "kompleksowe" niż na Windowsie. Zestawy root są znacznie bardziej prawdopodobne, aby obejmować zastąpienie binariów systemowych niestandardowym kodem w celu ukrycia złośliwego oprogramowania, a bariera do łatania jądra jest nieco niższa. Ponadto jest to Domowy system operacyjny dla wielu autorów złośliwego oprogramowania. Ogólne wskazówki zawsze dotyczą odbudowy uszkodzonego serwera od zera i są to ogólne wskazówki nie bez powodu.

Format, który szczeniak.

ale jeśli nie możesz odbudować (lub-powers-that-be nie pozwoli Ci go odbudować wbrew usilnemu naleganiu, że go potrzebuje), czego szukasz?

Ponieważ wygląda na to, że minęło trochę czasu od wykrycia włamania, a Przywracanie systemu zostało wykonane, jest bardzo prawdopodobne, że ślady tego, jak weszli, zostały zatopione w popłochu, aby przywrócić usługę. Niefortunne.

Nietypowy ruch sieciowy jest chyba najłatwiejszy do znalezienia, ponieważ to nie wymaga uruchamiania niczego na pudełku i można to zrobić, gdy serwer jest włączony i robi cokolwiek. Zakładając oczywiście, że Twój Sprzęt sieciowy pozwala na rozciąganie portów. To, co znajdziesz, Może być diagnostyczne, ale przynajmniej jest informacją. Uzyskanie nietypowego ruchu będzie mocnym dowodem na to, że system jest nadal zagrożony i wymaga spłaszczenia. To może być wystarczająco dobre, aby przekonać TPTB, że reformat naprawdę, naprawdę, jest wart przestojów.

Jeśli tego nie zrobisz, weź dd-kopię swojego partycje systemowe i zamontować je na innym pudełku. Zacznij porównywać zawartość z serwerem na tym samym poziomie łatki co skompromitowany. To powinno pomóc ci zidentyfikować to, co wygląda inaczej (te md5sums ponownie) i może wskazywać na pomijane obszary na zagrożonym serwerze. Jest to dużo przeszukiwania katalogów i plików binarnych i będzie to raczej pracochłonne. To może być nawet bardziej pracochłonne niż reformat / odbudować byłoby, i może być inną rzeczą, aby hit up TPTB o faktycznie robi sformatować to naprawdę potrzebuje.

Powiedziałbym, że @ Robert Moir, @ Aleksandr Levchuk, @ blueben i @ Matthew Bloch są bardzo trafne w swoich odpowiedziach.

Jednak odpowiedzi na różne plakaty różnią się - niektóre są bardziej na wysokim poziomie i mówią o tym, jakie procedury należy wdrożyć (w ogóle).

Wolałbym podzielić to na kilka oddzielnych części 1) Triage, AKA jak radzić sobie z klientami i implikacje prawne ,i określić, gdzie się stamtąd udać (wymienione bardzo dobrze przez Roberta @ blueben 2) łagodzenie skutków 3) reagowanie na incydenty 4) badania pośmiertne 5) Elementy remediacji i zmiany architektury

(tutaj wstawić deklarację odpowiedzi z certyfikatem GSC) Bazując na przeszłych doświadczeniach, powiedziałbym, co następuje:

Niezależnie od tego, jak radzisz sobie z odpowiedziami klientów, powiadomieniami, przepisami prawnymi i planami na przyszłość, wolałbym skupić się na głównym problemie. Oryginalna kwestia OP tak naprawdę odnosi się tylko bezpośrednio do #2 i # 3, w zasadzie, jak zatrzymać atak, uzyskać klientów z powrotem online jak najszybciej w ich oryginalnym stanie, który został dobrze omówiony w odpowiedziach.

Reszta odpowiedzi jest świetna i obejmuje wiele zidentyfikowanych najlepszych praktyk i sposobów, aby zarówno zapobiec temu w przyszłości, jak i lepiej na to odpowiedzieć.

To naprawdę zależy od budżetu PO i sektora przemysłu, w którym się znajdują, jakie jest ich pożądane rozwiązanie itp.

Może trzeba zatrudnić dedykowanego SA na miejscu. Może potrzebują ochrony. A może potrzebują w pełni zarządzanego rozwiązania, takiego jak Firehost lub Rackspace Managed, Softlayer, ServePath itp.

To naprawdę zależy od tego, co działa na ich biznes. Może ich podstawową kompetencją nie jest zarządzanie serwerami i nie ma sensu, aby starali się to rozwijać. A może są już dość techniczną organizacją i mogą podejmować właściwe decyzje o zatrudnieniu i zatrudniać dedykowany zespół w pełnym wymiarze czasu.

Po wzięciu się do pracy i przyjrzeniu się serwerowi udało nam się rozwiązać problem. Na szczęście w niedzielę, kiedy biuro jest zamknięte, do systemu zostały przesłane pliki, które nie powinny być tworzone, poza logami i plikami cache. Za pomocą prostego polecenia powłoki, aby dowiedzieć się, które pliki zostały utworzone w tym dniu, znaleźliśmy je.

Wszystkie obrażające pliki wydają się znajdować w folderze /images/ na niektórych naszych starszych stronach zencart. Wygląda na to, że był luka w zabezpieczeniach, która pozwalała (używając curl) każdemu idiocie na przesyłanie Nie-obrazów do sekcji przesyłania obrazów w sekcji administracyjnej. Usunęliśmy obrazę .Pliki php i naprawiono Skrypty wysyłania, aby uniemożliwić przesyłanie plików, które nie są obrazami.

Z perspektywy czasu było to dość proste i poruszyłem to pytanie na moim iPhonie w drodze do pracy. Dziękuję za pomoc.

Dla osób, które odwiedzą ten post w przyszłości. Ja bym nie polecam odłączam wtyczkę zasilania.

Mam niewiele do dodania do obszernych odpowiedzi technicznych, ale proszę również zwrócić uwagę na niektóre z nich:

Działania nietechniczne:

• Zgłoś incydent wewnętrznie.
  Jeśli nie masz już planu reagowania na incydenty, który może wydawać się techniką CYA, ale dział IT nie jest jedynym i często nawet najlepszym miejscem do określenia wpływu biznesowego zainfekowanego serwera.
  Wymagania biznesowe mogą przewyższać Twoje techniczne obawy. Nie mów "a nie mówiłem" i że priorytetem problemów biznesowych jest powód, dla którego masz ten skompromitowany serwer w pierwszej kolejności. ("zostaw to dla raportu po akcji.")

• Zatuszowanie incydentu bezpieczeństwa nie wchodzi w grę.

• Zgłaszanie się do władz lokalnych.
  ServerFault nie jest miejscem na porady prawne, ale jest to coś, co powinno być uwzględnione w planie reagowania na incydenty.
  W niektórych miejscowości i / lub branże regulowane obowiązkowe jest zgłaszanie (niektórych) incydentów bezpieczeństwa lokalnym organom ścigania, organom regulacyjnym lub informowanie klientów/użytkowników.
  Niezależnie od tego, ani decyzja o zgłoszeniu, ani faktyczny raport nie są podejmowane wyłącznie w dziale IT. Oczekuj zaangażowania ze strony kierownictwa oraz działów komunikacji prawnej i korporacyjnej (marketingu).
  Nie należy chyba oczekiwać zbyt wiele, internet to duże miejsce, gdzie granice mają niewiele znaczenie, ale wydziały cyberprzestępczości, które istnieją w wielu Wydziałach policji, rozwiązują cyfrowe przestępstwa i mogą postawić winnych przed sądem.

Miły internetowiec pomógł mi ostatnio dowiedzieć się, jak napastnik może zagrozić systemowi. Niektóre krakersy próbują ukryć swoje ślady, podrabiając czas modyfikacji plików. Poprzez zmianę czasu modyfikacji zostanie zaktualizowany czas zmiany (ctime). możesz zobaczyć ctime z stat.

Ten jeden liner zawiera listę wszystkich plików posortowanych według ctime:

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

Więc jeśli z grubsza znasz czas kompromisu, możesz zobaczyć, które pliki są zmienione lub utworzone.

Myślę, że wszystko sprowadza się do tego:

Jeśli cenisz swoją pracę, lepiej miej plan i regularnie go koryguj.

Niepowodzenie w planowaniu oznacza niepowodzenie, i nie jest to bardziej prawdziwe nigdzie indziej niż w bezpieczeństwie systemów. Kiedy uderzy w wentylator, lepiej bądź gotowy, aby sobie z tym poradzić.

Jest inne (nieco banalne) powiedzenie, które ma tu Zastosowanie: Lepiej zapobiegać niż leczyć .

Było tu kilka zaleceń aby pozyskać ekspertów do audytu istniejących systemów. Myślę, że to pytanie zadaje się w niewłaściwym czasie. To pytanie powinno być zadane, kiedy system został wprowadzony, a odpowiedzi udokumentowane. Pytanie nie powinno brzmieć: "jak możemy powstrzymać ludzi przed włamaniem?"Powinno być" dlaczego ludzie w ogóle mieliby się włamywać?"Audyt w przypadku kilku dziur w Twojej sieci będzie działał tylko do czasu znalezienia i wykorzystania nowych dziur. Z drugiej strony sieci, które są zaprojektowane z grunt, aby tylko w określony sposób reagować na określone systemy w starannie choreograficznym tańcu, w ogóle nie skorzysta z audytu, a fundusze będą marnotrawstwem.

Przed umieszczeniem systemu w Internecie zadaj sobie pytanie - czy musi to być 100% internet? Jeśli Nie, Nie. rozważ umieszczenie go za firewallem, gdzie możesz zdecydować, co widzi internet. Jeszcze lepiej, jeśli wspomniany firewall pozwala przechwycić transmisje (za pośrednictwem odwrotnego proxy lub filtra przelotowego jakiegoś rodzaju) patrz na użycie go, aby umożliwić tylko legalne działania.

Zostało to zrobione - gdzieś jest (lub była) konfiguracja bankowości internetowej, która ma proxy równoważące obciążenie skierowane do Internetu, którego zamierzali użyć do wektorowego ataku z dala od puli serwerów. Ekspert ds. bezpieczeństwa Marcus Ranum przekonał ich do przyjęcia odwrotnego podejścia poprzez użycie odwrotnego proxy, aby umożliwić tylko znane poprawne adresy URL i wysłać Wszystko inne do serwera 404. Stała Próba czasu zaskakująco dobrze.

System lub sieć oparta na domyślnym zezwoleniu jest skazana na niepowodzenie po ataku, którego nie przewidziałeś. Default deny daje Ci znacznie większą kontrolę nad tym, co wchodzi, a co nie, ponieważ nie pozwolisz, aby cokolwiek wewnątrz było widoczne z zewnątrz , chyba że cholernie dobrze musi być .

To powiedziawszy, to wszystko nie jest powodem do samozadowolenia. Powinieneś jeszcze mieć plan na pierwsze kilka godzin po naruszenie. Żaden system nie jest doskonały, a ludzie popełniają błędy.