Servidor Comprometido. ¿Pasos para determinar daños adicionales en la red? [cerrado]

Question

Servidor Comprometido. ¿Pasos para determinar daños adicionales en la red? [cerrado]

#1 de munkeyoto (1 votos)
#2 de RandomSecGuy (0 votos)

5

Entonces uno de tus servidores está comprometido. Determina esto porque observa que se está ejecutando un proceso extraño (como root, desafortunadamente). No hay información útil sobre este proceso de Googlear.

Lo primero es lo primero, limpiemos este servidor sucio conocido. Destruye desde la órbita, nos vemos luego. ¿Cómo trato con un servidor comprometido? es Una buena guía para tratar con ese servidor.

Ahora, un proceso que se ejecuta como root en una caja dentro de la red interna no me da mucha confianza de que este ataque está contenido solo en este único servidor, sin embargo, no puedo encontrar inmediatamente firmas en otras cajas. Va a ser una tarea masiva, probablemente con una pérdida importante de datos o tiempo de inactividad, destruir completamente toda la infraestructura y reconstruir.

¿Qué pasos debe tomar para sentirse seguro de que un ataque no se ha propagado a otros servidores de la red?

Bonus: Esta es una pregunta amplia. No puedo encontrar ningún buen recurso para describir las mejores prácticas actuales para tratar la respuesta a incidentes / el análisis forense. ¿Existen recursos?

incident-response

pregunta Anthony Kraft 18.04.2016 - 17:28

fuente

2 respuestas

Lea otras preguntas en las etiquetas incident-response

Mejores prácticas para compartir una contraseña de archivo (.zip) con el destinatario No se puede desactivar el filtro XSS en Chrome

score 1 · Answer 1

"Qué pasos toma para sentirse seguro ..." Restaurar desde una copia de seguridad. Ahora dice que se ejecuta como root, así que asumiré que esta es una variante de Unix (Linux / BSD / etc). Aquí hay algunas cosas que puede hacer para darle una base de referencia de lo que puede estar pasando. 1) Desconecte la máquina si es posible:

mkdir /tmp/DFIR
netstat -a | grep -i "tcp\|udp\|icmp" >> /tmp/DFIR/connections.txt
last >> /tmp/DFIR/lastlogins.txt
lsof ID_OF_SUSPICIOUS_PROCESS >> /tmp/DFIR/suspicious-PID.txt

Ahora que tiene una idea de los aspectos básicos que debe considerar, esto probablemente será una pérdida de tiempo. Dependiendo de lo que se usó para ingresar, ya sea que haya o no una puerta trasera, los archivos de registro se borraron, puede ser una tarea lenta. Pero si quieres continuar ...

Una vez que tenga el PID del proceso sospechoso, puede determinar (si no se usó timestomp o chage) en cuanto a la luz / modificaciones a través de los tiempos MACE. Puedes intentarlo Volatility pero a menos que Ya estás familiarizado con la esencia de los análisis forenses, el análisis de la memoria requiere mucho tiempo.

Ahora me detendré ya que la pregunta inicial fue amplia, declaraste root y, por lo que sé, estás usando Windows. Mi consejo es que recupere de una copia de seguridad a menos que haya algo en el que tenga la intención de presentar cargos civiles o penales. En cuyo caso, necesitarías un experto.

AGREGADO (EDITAR)

Antes de destruir el sistema, crearía una firma YARA para buscar lo que viste. Definitivamente haría netstat para monitorear las conexiones, en la próxima instalación de CUALQUIER COSA, crearía un servidor de syslog remoto reforzado, que minimice el acceso al principio de privilegio mínimo, para empezar. Pero nuevamente, como se mencionó, la pregunta es realmente amplia desde el inicio.

score 0 · Answer 2

Como dijo @SteffenUllrich, depende de muchos factores. ¿Tienes alguna IDS? Cortafuegos? ¿Su red es pequeña o grande?

De todos modos, incluso si faltan muchos elementos, aquí hay algunos conceptos básicos para una red pequeña: - Aislar la computadora que está comprometida desde la red

Lea los registros (tenga en cuenta que es posible que falten / se borren registros) y busque información proveniente de otra máquina comprometida
Si tiene algún IDS, se debe realizar alguna investigación
Trate de encontrar sus recursos que tengan un mayor riesgo (riesgo = amenaza x vulnerabilidad x costo) y asegúrelos (lea los registros podrían ser una buena idea para ver si está comprometido)
Informe a su compañero de trabajo y pida ayuda. Cuanto más rápido se encuentre la máquina comprometida, mejor será su efectividad para proteger su red.

Intento responderte lo mejor que pueda con la poca información, espero que te ayude un poco.

Para más ataques, Mozilla crea una herramienta llamada MIG que puede ayudarlo a buscar información con una simple solicitud: enlace