Estou tentando compilar um procedimento para quando houver suspeita, talvez de dados de fluxo de rede ou algo assim, que um servidor possa estar comprometido. A lógica é que você deve pensar sobre essas coisas friamente e com calma antes que elas aconteçam de verdade e a pressão esteja ligada e a adrenalina fluindo.
Alguém pode recomendar alguns bons recursos com os quais eu deveria me familiarizar para me ajudar a elaborar um procedimento sensato?
Estou procurando boas informações sobre o que fazer para confirmar suspeitas, bem como o que fazer quando um hack é descoberto.
Você pode executar algo como chkrootkit em um cronograma. link O mesmo que rkhunter.
Procure por processos suspeitos e desligue daemons desnecessários.
Se este for um sistema baseado em rpm, você pode verificar a saída do rpm verify ( rpm -vVa ) para procurar por mudanças nos pacotes instalados.
Há sempre o Tripwire ... link
Supondo que você não esteja explicitamente abordando as questões de evitar um compromisso, nem as questões de recuperação de um compromisso ...
Antes de acontecer
Você precisa ter um registro seguro no local, ou seja, os dados de registro devem ser imediatamente publicados em uma caixa separada para gravação.
Você deve ter um IDS baseado em host para detectar alterações não autorizadas - novamente com armazenamento de dados fora da caixa - como o tripwire / LIDS
Você também precisa planejar o que vai fazer imediatamente, suspeitando de um compromisso - você tem uma unidade separada na qual você pode trocar? Se for uma cópia direta, ela terá as mesmas vulnerabilidades que a caixa que está substituindo. Pode ser configurado para fornecer um serviço reduzido com melhor segurança (por exemplo, um servidor da web com um sistema de arquivos somente leitura e conteúdo básico).
Decidir critérios para envolver a aplicação da lei. Se você puder envolvê-los - e é provável que eles estejam interessados - fale com eles com antecedência e pergunte como você pode facilitar a vida deles.
Obtenha um acordo de todas as partes interessadas para a resposta planejada.
Detecção
Além da detecção de anomalias básicas, você deve verificar a saída do sistema de detecção de intrusão e executar verificações de rootkit regularmente, executando também varreduras de portas frequentes na caixa. Sua verificação de anomalias de rotina deve incluir a análise de log.
Embora os métodos descritos acima tenham valor quando o sistema é modificado pelo invasor, eles não abordam o problema de divulgação de informações. AFAIK, a única maneira sensata de lidar com isso é através de dados do honeypot (por exemplo, endereços de e-mail, contas de usuário).
quando acontece
Puxe a ficha para fora. A sério. Um desligamento do sistema pode fazer alterações significativas no sistema. Você quer que ele seja desconectado de qualquer outro dispositivo na rede o mais rápido possível - mas você precisa preservar o máximo possível sobre o estado do sistema.
Se você vai envolver a aplicação da lei - avise-os antes de fazer qualquer outra coisa.
Se você quiser investigar a si mesmo, inicialize o sistema a partir de um USB / CD - NÃO do sistema operacional instalado.
Você não vai determinar isso apenas olhando para a saída do netflow, já que isso não é detalhado o suficiente para dizer.
Em vez disso, sugiro usar as suspeitas de fluxo de rede como ponto de partida: examine-o por algum tempo, tente ver se ele está aumentando ou diminuindo, e se suspeitar que pode haver interrupções de serviço causadas por ele, puxe o plugue na (s) máquina (s) afetada (s).
Você não realiza perícia em caixas ao vivo, nunca; se a suspeita se tornar aguda o suficiente, você puxa a caixa para fora da rede e, em seguida, examina a precipitação quando quiser.