Frage Wie man einen Server-Hack post mortem macht


Ich habe einen Windows Server 2003 SP2-Rechner mit IIS6, SQL Server 2005, MySQL 5 und PHP 4.3 installiert. Dies ist keine Produktionsmaschine, sondern ist über einen Domainnamen der Welt zugänglich. Der Remote-Desktop ist auf dem Computer aktiviert, und auf ihm sind zwei administrative Konten aktiv.

Heute Morgen stellte ich fest, dass der Rechner mit einem noch unbekannten Benutzernamen in der Login-Box abgemeldet war. Nach weiteren Untersuchungen habe ich festgestellt, dass zwei Windows-Benutzer erstellt wurden, Anti-Virus wurde deinstalliert und einige der .exe-Dateien wurden in das Laufwerk C: abgelegt.

Was ich gerne wissen würde, ist, welche Schritte ich unternehmen sollte, um sicherzustellen, dass dies nicht wieder passiert, und auf welche Bereiche ich mich konzentrieren sollte, um den Zugangsweg zu bestimmen. Ich habe netstat -a bereits überprüft, um zu sehen, welche Ports offen sind, und nichts scheint dort merkwürdig. Ich habe unbekannte Dateien im Datenordner für MySQL gefunden, von denen ich denke, dass sie der Einstiegspunkt waren, aber ich bin mir nicht sicher.

Ich würde mich über die Schritte freuen, die eine gute Nachbearbeitung eines Server-Hacks ermöglichen, damit ich das in Zukunft vermeiden kann.

Nachuntersuchung überprüfen

Nach einigen Nachforschungen habe ich herausgefunden, was passiert ist. Zuerst war die Maschine im Zeitraum von August '08 bis Oktober '09 nicht online. Während dieser Zeit wurde eine Sicherheitslücke entdeckt, die MS08-067 Sicherheitsanfälligkeit. "Dies ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann remote die vollständige Kontrolle über ein betroffenes System erlangen. Auf Microsoft Windows 2000-, Windows XP- und Windows Server 2003-Systemen könnte ein Angreifer ausnutzen Diese Sicherheitslücke über RPC ohne Authentifizierung und könnte beliebigen Code ausführen. " Diese Möglichkeit wurde mit dem Sicherheitsupdate KB958644 behoben, das im Oktober 2008 veröffentlicht wurde.

Da die Maschine zu diesem Zeitpunkt offline war und dieses Update verpasste, glaube ich, dass diese Sicherheitsanfälligkeit schnell ausgenutzt wurde, nachdem die Maschine im Oktober 2009 wieder online gegangen war. Ich fand Hinweise auf ein bycnboy.exe-Programm, das gewesen ist als Backdoor-Programm beschrieben was dann auf einem infizierten System viel Chaos verursacht. Kurz nachdem die Maschine online war, installierten automatische Updates den Patch, der die Möglichkeit zur Fernsteuerung des Systems verhinderte. Da die Hintertür jetzt geschlossen war, glaube ich, dass der Angreifer dann physische Konten auf der Maschine erstellt hat und die Maschine für eine weitere Woche nutzen konnte, bis ich bemerkte, was passierte.

Nachdem der Schadcode, .exes und .dlls, aggressiv entfernt wurde und die selbst hostenden Websites und Benutzerkonten entfernt wurden, befindet sich die Maschine nun wieder in einem funktionierenden Zustand. In naher Zukunft werde ich das System überwachen und die Serverprotokolle überprüfen, um zu bestimmen, ob eine Wiederholung des Vorfalls stattfindet.

Vielen Dank für die Informationen und Schritte, die zur Verfügung gestellt wurden.


28
2018-01-28 20:14


Ursprung




Antworten:


Eine Obduktion zu betreiben ist eine schwarze Kunst an sich. Es ist jedes Mal ein bisschen anders, weil wirklich keine zwei Einbrüche gleich sind. Vor diesem Hintergrund finden Sie im Folgenden einen grundlegenden Überblick über meinen empfohlenen Prozess mit einigen spezifischen Hinweisen zu Ihrer Situation:

  1. Trennen Sie das Gerät physisch vom Netzwerk. (Wirklich. Mach es jetzt.)
  2. Optionaler Schritt: Erstellen Sie eine binäre Abbildkopie der Festplatte für die zukünftige Verwendung.
  3. Erstellen Sie eine Kopie aller Protokolldateien, wertvollen Daten usw. auf einer Wechselfestplatte
    • Kopieren Sie optional auch "Hacker-Tools", die Sie finden
  4. Beginne die eigentliche Obduktion. In Ihrem Fall:
    • Notieren Sie neue oder fehlende Benutzerkonten. Sehen Sie, ob ihre Home-Ordner "interessante" Inhalte haben.
    • Notieren Sie alle neuen oder fehlenden Programme / Binärdateien / Datendateien.
    • Überprüfen Sie zuerst die MySQL-Logs - Suchen Sie nach etwas "Ungewöhnlichem"
    • Überprüfen Sie den Rest der Serverprotokolle. Sehen Sie, ob Sie die neuen Benutzer, von denen sie angemeldet sind, usw. finden können.
    • Suchen Sie nach Hinweisen auf Datenbeschädigung oder -diebstahl
  5. Wenn Sie die Ursache des Problems finden, notieren Sie, wie Sie verhindern können, dass es erneut auftritt.
  6. Wischen Sie den Server sauber: Formatieren und installieren Sie alles neu, stellen Sie Ihre Daten wieder her und schließen Sie das ursprüngliche Loch mit Ihren Notizen aus # 5 an.

In der Regel führen Sie Schritt 2 durch, wenn Sie Strafverfolgung einbeziehen. Sie führen Schritt 3 aus, damit Sie Informationen überprüfen können, nachdem der Server neu erstellt wurde, ohne die in Schritt 2 erstellte Abbildkopie lesen zu müssen.

Wie genau Schritt 4 kommt, hängt von Ihren Zielen ab: Nur das Loch zu stopfen ist eine andere Art von Untersuchung, als herauszufinden, wer ein paar wertvolle Daten gestohlen hat :)

Schritt 6 ist IMHO kritisch. Sie kompromittieren einen Host nicht: Sie löschen ihn und beginnen von einem bekannten guten Zustand aus. Dies stellt sicher, dass Sie nicht einige Nugget der linken auf der Box als Zeitbombe verpassen.

Dies ist keineswegs eine vollständige Obduktion. Ich markiere dies als Community-Wiki, da ich immer nach Verbesserungen für den Prozess suche - ich benutze es nicht oft :-)


26



Ich habe keine Erfahrung damit, aber der Ratschlag von Security Monkey, wenn man sich eine Maschine zur Untersuchung vorstellt, besteht darin, das Netzkabel zu ziehen, die Festplatte abzubilden und dann zu untersuchen. (Sicherheitsaffe: it.toolbox.com/blogs/securitymonkey) - MattB
Security Monkey ist tot - Sie wollen die Maschine kalt einfrieren (ziehen Sie das Netzkabel), wenn Sie es abbilden. Herunterfahren und / oder Starten kann Selbstzerstörungs- oder Aufreinigungscode auslösen & das Ziehen der Stromversorgung verhindert, dass dies geschieht, bevor Sie Ihr Bild machen können. - voretaq7
Außerdem - ich würde sagen, dass Sie den Ergebnissen von "eingebauten" Befehlen auf dem gehackten System wie netstat (oder Verzeichnis, etc.) nicht vertrauen sollten. Ich habe wieder keine direkte Erfahrung damit auf Unternehmensebene, aber ich erinnere mich daran gehackt zu werden auf persönlichen Maschinen, wo ein Teil des Hacks eingebaute Werkzeuge ersetzen sollte, um zu verbergen, was wirklich vor sich ging. - MattB
+1 Schritt 6 ist wichtig, Sie wissen nicht, ob Netstat Ihnen die Wahrheit zeigt, ohne den tatsächlichen Netzwerkverkehr zu analysieren - und das an sich kann ziemlich kompliziert und ein Test der Geduld sein ... also, wischen Sie es ab. Es ist nicht mehr deine Kiste. Analysiere das Bild alles was du willst, wische aber die verdammte Maschine;) - Oskar Duveborn
Ich würde sagen, dass es Ihnen wahrscheinlich besser geht, Schritt 2 jedes Mal zu machen, da Sie nicht ganz sicher sind, was Sie während Ihrer Untersuchung finden werden. Das Vorhandensein von Binärbildern bedeutet auch, dass Sie verschiedene Personen haben können, die verschiedene Dinge betrachten und jeweils eine Kopie verwenden. - Vatine