查找被黑服务器是如何被黑的
我只是在浏览网站时发现了这个问题:我的服务器已被黑客入侵 EMERGENCY。基本上问题是:我的服务器被黑了。我该怎么办?
在最好的答案是优秀的,但它在我脑海中提出的一些问题。建议的步骤之一是:
检查“受攻击”系统以了解攻击如何成功危及您的安全。尽一切努力找出攻击“来自哪里”,以便您了解您遇到的问题以及需要解决的问题,以确保您的系统在未来安全。
我没有做过系统管理员工作,所以我不知道我将如何开始这样做。第一步是什么?我知道您可以查看服务器日志文件,但作为攻击者,我要做的第一件事就是删除日志文件。 您如何“理解”攻击是如何成功的?
Gre*_*egD 11
我首先要说的是,如果您没有 LOG FILES,那么您很有可能永远不会了解攻击在何处或如何成功。即使有完整和正确的日志文件,也很难完全理解谁、什么、在哪里、何时、为什么和如何。
因此,了解日志文件的重要性后,您就会开始了解保存它们的安全性。这就是为什么公司确实并且应该投资于安全信息和事件管理或简称 SIEM。
简而言之,将所有日志文件关联到特定事件(基于时间或其他方式)可能是一项极其艰巨的任务。如果您不相信我,请在调试模式下查看您的防火墙系统日志。这只是来自一台设备!SIEM 过程将这些日志文件放入一系列逻辑事件中,这使得弄清楚发生了什么更容易理解。
要开始更好地理解如何,研究渗透方法是有帮助的。
了解病毒的编写方式也很有帮助。或者如何编写一个rootkit。
设置和研究蜜罐也非常有益。
为您的网络和系统收集基线很有帮助。在您的情况下,什么是“正常”流量与“异常”流量?
CERT提供了关于在您的计算机被黑客入侵后该怎么做的出色指南,最值得注意的是(直接与您的特定问题相关)“分析入侵”部分:
- 查找对系统软件和配置文件所做的修改
- 查找对数据的修改
- 寻找入侵者留下的工具和数据
- 查看日志文件
- 寻找网络嗅探器的迹象
- 检查网络上的其他系统
- 检查远程站点中涉及或受影响的系统
SF上有很多和你类似的问题:
这可能是一个极其复杂和复杂的过程。大多数人,包括我在内,如果涉及的问题超出了我的 SIEM 设备所能组合的范围,他们只会聘请顾问。
而且,显然,如果您想完全了解您的系统是如何被黑客入侵的,您必须花费数年时间 研究它们并放弃女性。
“我知道你可以查看服务器日志文件,但作为攻击者,我要做的第一件事就是删除日志文件。”
根据妥协的类型,攻击者可能在受感染的服务器上没有足够高的权限来擦除日志。最佳实践是将服务器日志保存在另一台服务器上,以防止篡改(以一定的时间间隔自动导出)。
除了受损的服务器日志之外,仍然存在网络日志(防火墙、路由器等)以及来自目录服务的身份验证日志(如果有的话)(Active Directory、RADIUS 等)
因此,查看日志仍然是可以做的最好的事情之一。
在处理受感染的盒子时,筛选日志始终是我拼凑所发生事件的主要方法之一。
-乔什
| 归档时间: |
|
| 查看次数: |
1057 次 |
| 最近记录: |