¿Cómo encontrar la vulnerabilidad de mi servidor después de un ataque? [duplicar]

1

Hace unos días, el servidor de mi compañía fue atacado por piratas informáticos que borraron toda la base de datos en la carpeta / var / lib / mysql /.

Afortunadamente, pude restaurar todo desde las copias de seguridad, pero no puedo encontrar la ubicación de una brecha de seguridad.

Encontré un montón de archivos .exe en la carpeta / var / lib / mysql / que, en mi opinión, definitivamente no debería estar allí. El hack se produjo el 29 de noviembre, por lo que creo que los archivos responsables terminan con "exp.exe" y "401hk.exe", que cuando se abrieron contenían la siguiente línea:

http://104.223.17.73:4568/401hk.exe

¿Es posible que los piratas informáticos escribieran ejecutables en la carpeta / tmp y movieran esos archivos a / var / lib / mysql donde ejecutaron el ataque de forma remota?

Es fundamental para mí encontrar la vulnerabilidad para evitar que ocurran tales ataques.

Hasta ahora revisé todos los registros de acceso, ejecuté la auditoría de seguridad de LYNIS, no encontré nada crítico, realicé una verificación de rootkits, no encontré nada.

¿Quizás alguien tiene experiencia con un ataque similar?

    
pregunta Marko T 06.12.2016 - 08:17
fuente

1 respuesta

-1

Recomiendo encarecidamente crear una imagen de su disco y luego limpiarlo de forma segura y reconstruir el servidor. Asegúrese de que el servidor comprometido se desconecte de la red inmediatamente para detener cualquier propagación de compromiso. Trabaje en la imagen del disco no del servidor comprometido si desea verificar la posible fuente y el alcance del compromiso.

No confíe en la restauración de datos para sobrescribir un virus o una puerta trasera; debe limpiar el disco de manera segura y reconstruir el servidor. Escanee y verifique las copias de seguridad también antes de usarlas.

¿Presumiblemente tienes antivirus en el servidor? Si entonces no se actualiza regularmente, es un virus de día cero o un hack directo que obtuvo acceso a algún nivel de inicio de sesión interactivo. Si no ha instalado uno y escanea la imagen / disco, puede indicarle lo que está sucediendo. Escanear todas las copias de seguridad también.

Si alguien malintencionado ha obtenido acceso a su servidor, entonces, con permisos suficientes, podría mover los archivos a donde quiera. Se necesita una investigación forense completa para averiguar la causa y el alcance de su compromiso.

Puede comenzar revisando los registros de acceso para los inicios de sesión interactivos. Conecte el acceso de inicio de sesión reciente con cuentas específicas y verifique con los propietarios de las cuentas para descontar esos inicios de sesión. ¡O no!

No puede confiar en las marcas de tiempo en los archivos; se pueden cambiar fácilmente. ¿Tiene algún sistema de detección de intrusos con controles de integridad de archivos? ¿Qué dice ese sistema sobre los archivos y fechas modificados?

Hay muchos pasos a seguir para intentar rastrear esto, pero si no está preparado para una violación, es muy probable que no encuentre la fuente del problema fácilmente, si es que lo encuentra.

También considere qué datos estaban en la base de datos en términos de sensibilidad y confidencialidad. Es posible que el compromiso haya filtrado parte o la totalidad de los datos de su base de datos; si alguien puede borrarlos, es casi seguro que pueden transferir los datos fuera de la red (según las reglas de egreso de su firewall).

Finalmente, no olvide revisar todos los servidores y dispositivos a los que este servidor también tiene acceso, es decir, puede conectarse desde servicios o cuentas en este servidor, el compromiso puede haberse extendido.

Hay mucha información en línea sobre cómo investigar las violaciones para encontrar las posibles causas y cómo aclararlas. No solo restaure algunos datos y espere lo mejor, si no sabe exactamente cómo ocurrió el compromiso y qué. Se han producido daños / cambios.

    
respondido por el David Scholefield 06.12.2016 - 08:54
fuente

Lea otras preguntas en las etiquetas