Reconhecer o servidor de rootkit

Navegue suas respostas
1

Primeiro, não estou procurando por software para detecção de rootkits plantados no servidor, pois isso pode ou não funcionar, especialmente no sistema ativo.

Estou curioso para descobrir quais seriam os sinais de controle de rootkit de um servidor. Pelo menos, que dano e comportamento externamente detectável que alguém poderia esperar e testemunhar enquanto está acontecendo?

Minha ideia - talvez errada - é que, se você não puder detectar comprometimento do sistema por meio de ferramentas como ps , top , netstat (que seria, por definição, adulterado), talvez tenha certeza de que o sistema é enraizada por:

  • loadvg incomum?
  • E / S incomum do disco e / ou temperatura do disco rígido?
  • tráfego de saída geral alto? (problemático)
  • enviar mensagens de e-mail para o MTA legal, em resposta a e-mails não enviados?
  • sendo listado em listas de bloqueio público?

(obviamente, estamos falando de servidor acessível publicamente).

Estou na trilha certa - o servidor root pode ser reconhecido por essa abordagem e como?

    
por Miloš Đakonović 23.04.2017 / 11:28

3 respostas

3

A primeira coisa a perguntar é por que razões o intruso tem seu servidor em primeiro lugar. A motivação para atividades ilegais é mais provável dinheiro. Provavelmente não é nada que precise de poder de cálculo, por isso não é tão importante monitorar o uso dos recursos do sistema.

Então, como usar o computador seqüestrado para obter lucro? Roubando informações ou transformando-as em um servidor de spam, etc. Todas elas têm em comum que precisam de conexões de rede. Então você deve monitorar o tráfego de rede anormal.

Como o servidor comprometido pode ocultar essas conexões (tornando-as invisíveis do próprio sistema), a maneira mais eficaz é ter um firewall externo com um Sistema de Prevenção de Intrusões entre o servidor e a Internet. / p>     

por 23.04.2017 / 12:45
1

Muitos rootkits no nível do kernel podem ser efetivamente eliminados no momento do ataque, ativando a linha de comando do kernel module.sig_enforce .

link 

 module.sig_enforce
                 [KNL] When CONFIG_MODULE_SIG is set, this means that
                 modules without (valid) signatures will fail to load.
                 Note that if CONFIG_MODULE_SIG_FORCE is set, that
                 is always true, so this option does nothing.

Para aproveitar isso corretamente, você deseja idealmente um kernel 'vanilla' que use apenas módulos que vêm do repositório principal do sistema. O resultado disso é que você só permite carregar módulos do kernel que são assinados pelo seu repositório confiável do qual você originalmente obteve seu kernel.

No que diz respeito à detecção e / ou prevenção de rootkits userspace - rpm -V pode ajudar a fornecer algumas anomalias fora da caixa, mas se as bibliotecas ssl foram adulteradas isso ainda é possível superar.

Em última análise, esses tipos de verificações de segurança são infrutíferas. Se você estiver interessado em manter algum grau de resistência à adulteração para seus sistemas, precisará alterar sua mentalidade de como a segurança funciona.

Você precisa definir o que o sistema deve fazer e não o que o sistema não deve fazer. Muitas vezes, isso é difícil de enumerar em termos de tempo ou desconhecido para o administrador do sistema, que é o ponto crucial do problema.

No entanto, uma vez que você sabe o que o sistema deve você pode definir políticas de segurança em coisas como o SELinux (um assunto enorme por si só, mas ligá-lo é um ótimo começo). O SELinux hoje em dia tem políticas muito boas que foram longe para tentar definir o que um Linux típico deveria fazer .

Um passo futuro (se você realmente está seriamente paranóico) é comprar hardware que contenha chips TPM e servidores de configuração para ser totalmente inviolável por meio das instalações do IMA que estão sendo mescladas no kernel.

Isso se baseia em um chip fisicamente inviolável que fornece serviços de criptografia ao kernel, por meio do qual você pode assinar criptograficamente arquivos e binários específicos para torná-lo verdadeiramente inviolável (o kernel pode se recusar a executar códigos que não sejam t assinado desta forma).

A maior parte disto é tão nova e fresca que não está realmente pronta para a distribuição, mas é bom saber da sua existência para quando ela estiver pronta.

link

    
por 30.04.2017 / 23:31
1

Existem todos os tipos de malware por aí, e os tipos bem escritos serão muito difíceis de detectar. A maioria dos malwares atualmente é escrita com a intenção de usar o servidor para direcionar a outras pessoas (além do ransomware, que infelizmente é fácil de detectar), portanto os melhores lugares externos para analisar são o que o servidor está enviando. Três dos objetivos mais comuns do malware são ganhar dinheiro através de sites de phishing, spam e serviços DDOS.

Os sites de phishing geralmente podem ser detectados por meio dos registros de acesso do seu servidor da web. A coisa a procurar é um subdiretório gerado aleatoriamente em algum lugar dentro da raiz de documentos de um site, ou um diretório feito para parecer parte do framework de sua aplicação (eu vi wp-files e wp-config para WordPress, por exemplo). Dentro dessa pasta, haverá uma página que se parece com a página de login de um serviço ou instituição financeira popular, bem como um arquivo de texto ou um cliente de e-mail para obter as informações do usuário. Isso requer algum conhecimento de como seus registros de acesso geralmente se parecem, mas é bastante fácil de detectar.

O malware que faz com que um servidor envie spam geralmente pode ser detectado ao verificar sua fila de e-mails, pois é muito provável que haja vários erros de bounceback. Você também pode usar uma ferramenta como senderbase para verificar se houve algum aumento anormal no tráfego de e-mail. Damas da lista negra como o MxToolbox e o multirbl também são úteis.

Detectar se o seu servidor está participando de ataques DDOS pode ser mais difícil de detectar. A melhor maneira é acompanhar o uso estimado de largura de banda, pois picos repentinos em sua saída são bastante indicativos de malware.

No geral, sua lista é um bom começo, pois o malware pode se manifestar de muitas formas diferentes. Você só precisa ter em mente que malwares bem escritos serão quase impossíveis de detectar sem usar um IDS / IPS e outro software de monitoramento.

    
por 02.05.2017 / 01:36

Tags

Propósito da injeção de SQL Instalando o Windows XP em vez do Ubuntu