Quelles sont les principales étapes de l'analyse judiciaire de la boîte Linux après son piratage?
Disons qu'il s'agit d'un serveur linux générique mail / web / database / ftp / ssh / samba. Et il a commencé à envoyer du spam, à analyser d'autres systèmes. Comment commencer à chercher des moyens de pirater et qui est responsable?
Réponses:
Voici quelques choses à essayer avant de redémarrer:
Tout d'abord, si vous pensez que vous pourriez être compromis, débranchez votre câble réseau afin que la machine ne puisse pas endommager davantage.
Ensuite, si possible, abstenez-vous de redémarrer , car de nombreuses traces d'un intrus peuvent être supprimées en redémarrant.
Si vous avez pensé à l'avance et que la journalisation à distance était en place, utilisez vos journaux à distance, pas ceux de la machine, car il est trop facile pour quelqu'un de falsifier les journaux de la machine. Mais si vous n'avez pas de journaux distants, examinez attentivement les journaux locaux.
Vérifiez dmesg , car il sera également remplacé lors du redémarrage.
Sous Linux, il est possible d'avoir des programmes en cours d'exécution - même après la suppression du fichier en cours d'exécution. Vérifiez-les avec le fichier de commandes / proc / [0-9] * / exe | grep "(supprimé)" . (ceux-ci disparaissent au redémarrage, bien sûr). Si vous souhaitez enregistrer une copie du programme en cours d'exécution sur le disque, utilisez / bin / dd if = / proc / filename / exe of = filename
Si vous connaissez de bonnes copies de who / ps / ls / netstat, utilisez ces outils pour examiner ce qui se passe sur la boîte. Notez que si un rootkit a été installé, ces utilitaires sont généralement remplacés par des copies qui ne donneront pas d'informations précises.
Cela dépend totalement de ce qui a été piraté, mais en général,
Vérifiez les horodatages des fichiers qui ont été modifiés de manière inappropriée et recoupez ces heures avec ssh (dans / var / log / auth *) et ftp (dans / var / log / vsftp * si vous utilisez vsftp comme serveur) savoir quel compte a été compromis et de quelle adresse IP l'attaque est venue.
Vous pouvez probablement savoir si le compte a été forcé brutalement s'il y a eu beaucoup de tentatives de connexion infructueuses sur le même compte. S'il n'y a pas eu ou seulement quelques tentatives de connexion infructueuses pour ce compte, le mot de passe a probablement été découvert d'une autre manière et le propriétaire de ce compte a besoin d'une conférence sur la sécurité des mots de passe.
Si l'IP vient d'un endroit proche, il pourrait s'agir d'un «travail interne»
Si le compte root a été compromis, vous avez bien sûr de gros ennuis, et si possible, je reformaterais et reconstruirais la boîte à partir de zéro. Bien sûr, vous devez de toute façon modifier tous les mots de passe.
Vous devez vérifier tous les journaux des applications en cours d'exécution. Par exemple, les journaux Apache peuvent vous indiquer comment un pirate pourrait exécuter des commandes arbitraires sur votre système.
Vérifiez également si vous avez des processus en cours qui analysent les serveurs ou envoient du spam. Si c'est le cas, l'utilisateur Unix à partir duquel ils s'exécutent peut vous dire comment votre boîte a été piratée. Si c'est www-data, vous savez que c'est Apache, etc.
Sachez que parfois certains programmes comme pssont remplacés ...
Naaah!
Vous devez éteindre, connecter le disque dur à une interface en lecture seule (c'est une interface spéciale IDE ou SATA, ou USB, etc ... qui ne permet aucune écriture, quelque chose comme ceci: http: //www.forensic- computers.com/handBridges.php ) et faites une dupe exacte avec DD.
Vous pouvez le faire sur un autre disque dur ou sur une image disque.
Ensuite, stockez dans un endroit plus sûr et totalement sûr que le disque dur, est la preuve d'origine sans aucune altération!
Plus tard, vous pouvez brancher ce disque cloné ou cette image dans votre ordinateur judiciaire. S'il s'agit d'un disque, vous devez le brancher via une interface en lecture seule, et si vous allez travailler avec une image, montez-la en lecture seule.
Ensuite, vous pouvez y travailler, encore et encore sans modifier aucune donnée ...
Pour info, il y a des images de systèmes "piratés" sur internet pour la pratique, donc vous pouvez faire de la criminalistique "à la maison" ...
PS: Qu'en est-il du système piraté abattu? si je pense que ce système est compromis, je ne le laisserais pas connecté, j'y mettrais un nouveau disque dur, et je restaurerais une sauvegarde ou mettrais un nouveau serveur en production jusqu'à la fin de la criminalistique ...
Effectuez un vidage de mémoire et analysez-le avec un outil d'analyse de la mémoire, tel que Second Look .
Vous devriez vous demander d'abord: "Pourquoi?"
Voici quelques raisons qui ont du sens pour moi:
Aller au-delà de cela n'a souvent aucun sens. Souvent, la police s'en fiche, et si elle le faisait, elle mettrait votre matériel en fourrière et ferait sa propre analyse médico-légale.
Selon ce que vous découvrirez, vous pourrez peut-être vous faciliter la vie. Si un relais SMTP est compromis et que vous déterminez qu'il était dû à un correctif manquant exploité par un tiers, vous avez terminé. Réinstallez la boîte, corrigez tout ce qui a besoin d'être corrigé et continuez.
Souvent, lorsque le mot «criminalistique» est évoqué, les gens ont des visions de CSI et pensent à trouver toutes sortes de détails atroces sur ce qui s'est passé. Cela peut être ça, mais n'en faites pas un énorme ascenseur si vous n'êtes pas obligé.
Je recommande fortement de lire " Dead Linux Machines Do Tell Tales ", un article de l'Institut SANS. Cela remonte à 2003, mais l'information est toujours valable aujourd'hui.