Restaurando la base de datos desde un sistema pirateado

5

Una máquina virtual de Linux con postgres 9.4 fue hackeada. (Dos procesos que tomaron 100% cpu, archivos extraños en / tmp, no volvieron a aparecer después de matar y reiniciar). Se decidió instalar el sistema desde cero en una máquina nueva (con postgres 9.6). Los únicos datos necesarios estaban en una de las bases de datos de postgres. Se realizó un pg_dump de la base de datos después del ataque.

Independientemente de si los datos: las tablas / filas / etc. - se modificaron durante el ataque: ¿es seguro restaurar la base de datos en el nuevo sistema?

P.S. Considero usar pg_restore con la opción -O que ignora los permisos de usuario

    
pregunta user1713059 01.12.2016 - 16:29
fuente

1 respuesta

1

No. No es seguro restaurar los datos sin tomar medidas para garantizar que los datos no se corrompan de manera que puedan conducir a más agujeros de seguridad. También es poco probable que la actualización de 9.4 a 9.6 haga alguna diferencia, y en realidad podría complicar la restauración.

Muchos ataques implican alterar la información de seguridad almacenada en la base de datos. Incluso si no tiene tales tablas, es tan común que los atacantes inserten código en lo que normalmente se consideraría como datos y explotar los agujeros de seguridad en los límites entre el código y los datos.

La forma correcta de proceder es tomar un volcado inmediatamente antes del ataque y compararlo con el último volcado. Esto requiere cierta habilidad, y es posible que tenga que asumir el peor de los casos si no puede verificar los archivos de auditoría y registro cuando comenzó el ataque.

Intente encontrar maneras de comparar los volcados anteriores y posteriores, eliminando los cambios legítimos con cada iteración de comparación. Eventualmente no encontrará nada, en cuyo caso tendrá que correr el riesgo de importar los datos o restaurarlos hasta la última copia de seguridad válida conocida y vivir con la pérdida.

Sería mejor si pudiera usar la información de comparación, registro y auditoría para realizar ingeniería inversa (el mejor de los casos) o determinar la amplitud probable del ataque. (

)

Tan infeliz como es la verdad en este caso. Esto es como ciencia espacial. Es posible que necesite hacer más preguntas. Por supuesto, mucho depende de qué tan seguro esté de que ha limpiado todas las amenazas potenciales del sistema, lo que depende de qué tan importantes sean los datos y las cuentas de los usuarios.

    
respondido por el FauChristian 26.01.2017 - 04:45
fuente

Lea otras preguntas en las etiquetas