当一台服务器被扎根(如情况是这样),第一件事情,你可能会决定做一个遏制。一些安全专家建议不要立即进行修复,并在取证完成之前保持服务器在线。这些建议通常是针对APT 的。如果您偶尔遇到Script Kiddie漏洞,情况就不同了,因此您可能决定及早进行补救(修复)。修复的步骤之一是遏制服务器。引用Robert Moir 的回答——“将受害者与其抢劫者断开联系”。
可以通过拉网线或电源线来容纳服务器。
哪种方法更好?
考虑到需要:
编辑:5个假设
假设:
Jas*_*erg 10
断开网络。如果没有网络连接,攻击者将无法获取任何其他信息。在没有权力的情况下进行任何取证是非常困难的(阅读:不可能)。
在这个时代,它可以是一个虚拟机,所以任何一种方法都很容易,甚至可以远程完成。(当然,虚拟机也提供了使用快照的可能性)
我建议将断开网络连接作为自动的第一步,因为这让您有时间思考下一步应该做什么,下一步是拔掉电源线还是其他什么。如果您知道您的公司“安全响应程序”不允许您花时间详细了解机器,那么保留 RAM 的内容可能并不那么重要。
我建议以任何方式“将受害者与其劫匪分开”比如何做更重要,因此这两种方法都是有效的。我自己拉电源线没有问题,就这么说吧。
这不是非此即彼的情况。您通常希望两者都做——您希望在已从网络中删除的系统上执行某些取证(正在运行的进程的转储、侦听套接字、/tmp 中的文件等),然后从安全的系统中执行剩余的诊断环境(即 Live CD)。但是,在某些情况下,这两种方法都不是正确的方法,您需要考虑并了解您的组织中可能有哪些方法。
如果您正面临 APT,那么除了监控服务器之外,您最好的选择是设置一个蜜罐并彻底调查流入和流出它的所有流量。
通过内存的措施在时间和精力方面是如此昂贵,以至于通常不值得,除非您尝试过所有其他方法,如果您确定这是值得的,通常最好设置一个蜜罐,让您轻松转储将内存和系统状态动态传输到另一台机器,这样您就可以在机器启动和运行时进行分析,减少被检测到的威胁。
我曾遇到过一种情况,攻击者将所有内容都保存在内存中,以至于除了日志之外,机器在关闭电源并重新打开后看起来与它的图像完全一样。然后他们会重新入侵并再次开始使用它,因为漏洞仍然存在——他们不需要为自己留下任何后门。内存评估在这里可能会有所帮助,但在这种情况下,观察流量足以快速识别漏洞。
所以:
避免断电和进行离线磁盘评估的唯一原因是,如果您要在威胁就位和运行时对威胁进行彻底的内存分析。如果您已经到了必须这样做的地步,那么就没有理由拔掉任何一个插头。
如果您不进行内存分析,那么拔掉电源插头是您最好的选择——拔掉以太网(或使用关闭命令)只会提前通知攻击者的软件——这偶尔会很重要。
所以:
两个都拉,除非你在做内存分析,在这种情况下,不要拉。
| 归档时间: |
|
| 查看次数: |
1357 次 |
| 最近记录: |