Quais são os principais passos da análise forense da caixa linux depois de ser hackeada?

Aqui estão algumas coisas para tentar antes de reinicializar:

Primeiro, se você acha que pode estar comprometido desconecte o cabo de rede para que a máquina não cause mais danos.

Em seguida, se possível, evite reiniciar , pois muitos traços de um invasor podem ser removidos pela reinicialização.

Se você pensou no futuro e tinha registro remoto no lugar, use seus registros remotos, não os da máquina, pois é muito fácil para alguém adulterar os registros na máquina. Mas se você não tiver logs remotos, examine os locais detalhadamente.

Verifique dmesg , pois isso também será substituído na reinicialização.

No linux, é possível ter programas em execução - mesmo após o arquivo em execução ter sido excluído. Verifique estes com o comando arquivo / proc / [0-9] * / exe | grep "(deletado)" . (estes desaparecem na reinicialização, é claro). Se você quiser salvar uma cópia do programa em execução no disco, use / bin / dd if = / proc / nome do arquivo / exe de = nome do arquivo

Se você tiver cópias boas conhecidas de quem / ps / ls / netstat, use essas ferramentas para examinar o que está acontecendo na caixa. Observe que, se um rootkit tiver sido instalado, esses utilitários geralmente serão substituídos por cópias que não fornecerão informações precisas.

Isso depende totalmente do que foi hackeado, mas, em geral,

Verifique os timestamps de arquivos que foram modificados inadequadamente e faça referência cruzada a esses horários com ssh (em / var / log / auth *) e ftp (em / var / log / vsftp * com sucesso, se você estiver usando o vsftp servidor) para descobrir qual conta foi comprometida e de qual IP o ataque ocorreu.

Provavelmente, você pode descobrir se a conta foi forçada por brutalidade se houver muitas tentativas de login mal-sucedidas na mesma conta. Se não houve ou houve apenas algumas tentativas de login malsucedidas para essa conta, provavelmente a senha foi descoberta de outras maneiras e o proprietário dessa conta precisa de uma palestra sobre segurança de senha.

Se o IP for de algum lugar próximo, pode ser um "trabalho interno"

Se a conta root foi comprometida, é claro que você está com grandes problemas e eu, se possível, reformatar e reconstruir a caixa a partir do zero. Claro que você deve mudar todas as senhas de qualquer maneira.

Você precisa verificar todos os registros dos aplicativos em execução. Por exemplo, os logs do Apache podem dizer como um hacker pode executar comandos arbitrários em seu sistema.

Verifique também se você tem processos em execução que analisam servidores ou enviam spam. Se for esse o caso, o usuário Unix do qual ele está executando pode informar como sua caixa foi invadida. Se é www-data, então você sabe que é o Apache, etc.

Lembre-se de que, algumas vezes, alguns programas como ps são substituídos ...

Você deve se perguntar primeiro: "Por quê?"

Aqui estão algumas razões que fazem sentido para mim:

• Avalie o dano
• Figura como eles chegaram em
• Determine se foi um trabalho interno

Indo além disso muitas vezes não faz sentido. A polícia muitas vezes não se importa e, se o fizesse, eles confiscariam seu hardware e farão sua própria análise forense.

Dependendo do que você descobrir, você poderá facilitar sua vida. Se uma retransmissão de SMTP for comprometida e você determinar que foi devido a um patch ausente explorado por uma parte externa, está feito. Reinstale a caixa, corrija o que for necessário e siga em frente.

Muitas vezes, quando a palavra "forense" é trazida à tona, as pessoas têm visões de CSI e pensam em descobrir todos os tipos de detalhes excruciantes sobre o que aconteceu. Pode ser isso, mas não faça um grande esforço se você não precisa.

Naaah!

Você deve desligar, conectar o disco rígido a uma interface somente de leitura (é uma interface especial IDE ou SATA, ou USB, etc ... que não permite nenhuma gravação, algo assim: link ) e faça um dupe exato com DD.

Você pode fazer isso em outro disco rígido, ou você pode fazer isso em uma imagem de disco.

Em seguida, guarde em um lugar seguro e totalmente seguro esse disco rígido, é a prova original sem qualquer adulteração!

Mais tarde, você pode conectar esse disco clonado ou imagem em seu computador forense. Se for um disco, você deve conectá-lo através de uma interface somente de leitura e, se for trabalhar com uma imagem, monte-a como 'somente leitura'.

Em seguida, você pode trabalhar nele de novo e de novo sem alterar nenhum dado ...

FYI, existem imagens de sistemas "hackeados" na internet para prática, para que você possa fazer o trabalho forense "em casa" ...

PS: E o sistema hackeado foi desativado? se eu acho que o sistema está comprometido, eu não o deixaria conectado, colocaria um novo disco lá e restauraria um backup ou colocaria um novo servidor em produção até que a análise forense ...

Faça um despejo de memória e analise-o com uma ferramenta forense de memória, como Segundo acesso .

Eu ainda não li as outras respostas, mas eu faria uma imagem fantasma dele para preservar a evidência e apenas examinar a imagem ... talvez ...

Eu recomendo a leitura de " Máquinas Linux Inoperantes contam contos ", um artigo da The Instituto SANS. É de 2003, mas a informação ainda é valiosa hoje.