Diagnosticando possíveis intrusões

1

Eu notei que vários diretórios no meu servidor doméstico que eu não toquei tiveram seu tempo de modificação alterado, embora nenhum dos arquivos contidos nesses diretórios relatem uma mudança no tempo.

Eu rodei um IDS (fcheck) e ele não relatou nada na data da hora de modificação dos diretórios. Isso não é surpreendente, já que os diretórios em questão estão no meu diretório home (que meu IDS não verifica). Passei pelo auth.log e não encontrei nenhum acesso não autorizado na data em questão e verifiquei se a maioria das configurações em / etc parece ser a mesma. Como devo proceder ao lado para determinar se, de fato, minha máquina foi comprometida?

    
por Mark Roddy 17.06.2009 / 17:19

4 respostas

1

Verificar seus registros é a primeira coisa a fazer. Isso deve avisá-lo se alguém entrou no seu sistema através de alguma porta aberta ( por exemplo, sshd, você vê os tempos de login que não correspondem aos horários em que você se conectou?)

Verificar / etc é uma boa ideia, mas isso só lhe dirá se alguém tentou modificar sua configuração, não se alguém realmente penetrou em seu sistema apenas por diversão.

Além disso, você aplicou todos os patches de segurança atuais para sua plataforma? Se não, faça isso imediatamente.

Se você determinar que o seu sistema foi penetrado, você terá que descobrir qual vetor eles usaram. Você diz que é um servidor doméstico: isso significa que alguém decifrou sua senha do Wi-Fi e atacou pela LAN - que geralmente é uma rede confiável - ou que alguém passou pelo roteador do lado da WAN?

PS Esqueci-me de incluir a possibilidade de que um script (que você correu de propósito) possa ter tocado em arquivos em ~ / por alguma razão totalmente legítima. Isso é algo para se ver também, antes de ficar muito preocupado por ter sido hackeado.

    
por 17.06.2009 / 17:28
1

Eu participei de uma palestra bastante fantástica ontem à noite sobre computação forense básica. Aqui está um link para seus slides. link Ele terminou com uma demonstração do Superslueth, que exige que você desconecte o seu sistema, inicializando um CD de resgate que não monta automaticamente o disco rígido e monta somente leitura, criando uma imagem do disco rígido ou da partição em que você está interessado e, em seguida, carregando-o no SUperslueth em uma máquina separada. É uma quantidade razoável de trabalho, mas usar a máquina durante a execução e montagem de leitura / gravação vai destruir muitos dados.

No que diz respeito a puxar o plugue, ele sugere que, porque parar as máquinas pode causar muita faxina, o que tornará mais difícil ver as mudanças nos tempos de arquivo ou MAC.

    
por 17.06.2009 / 17:30
1

A hora da modificação não é uma fonte confiável de informações, pois pode mudar com bastante frequência (especialmente em um diretório pessoal). Isto é o que o manual diz:

 st_mtim     Time when file data was last modified.  Changed by the
             truncate(2), utimes(2), and write(2) system calls.  For di-
             rectories, changed by any system call that alters which files
             are in the directory, such as the unlink(2), rename(2),
             mkdir(2), and symlink(2) system calls.

 st_ctime    Time when file status was last changed (inode data modifica-
             tion).  Changed by the chmod(2), chown(2), link(2),
             rename(2), unlink(2), utimes(2), and write(2) system calls.

Então, se você executou um backup, fez um chmod * por engano ou algo assim, o horário de alteração / modificação pode ter mudado.

Agora, no tópico de intrusões, após o teste, as verificações só funcionarão se você tiver as medidas de segurança ANTES do lugar. Se você não estiver armazenando seus logs com segurança em um repositório central, procurá-los na máquina de destino será inútil (qualquer invasor os excluirá / modificará). Minha sugestão:

  • Procure por portas abertas (netstat)
  • Procure por processos em execução (lsof, ps aux)
  • Habilite um firewall, instale um IDS (o OSSEC é bom) e observe a caixa
  • Talvez use um detector de rootkit (o rootcheck é bom: link )
por 17.06.2009 / 23:00
0

Não confie em nenhuma ferramenta em execução no host suspeito. Se você logar e começar a cutucar os arquivos, você pode manchar a evidência e deixar o intruso adivinhar que você o detectou. Tente monitorar de perto o tráfego de rede do host executando uma captura de tráfego externamente. Procure por qualquer conexão suspeita ou incomum. Se você não notar nada, tire uma foto completa dos discos rígidos durante um curto período de inatividade. Não passe pelo processo normal de desligamento, reinicie-o. Ao analisar a imagem do disco, você pode manter o sistema em execução e monitorar seus fluxos de rede.

    
por 26.06.2009 / 22:08