En lo que respecta a lo siguiente:
0day Linux / CentOS SSHd Spam Exploit - libkeyutils.so.1.9
Aparentemente, parece que hay un montón de servidores redhat que se encuentran en una puerta trasera a través de una biblioteca. ¿Alguien tiene consejos sobre cómo rastrear y encontrar el incumplimiento inicial de contacto?
En ese caso específico, por lo que tengo entendido, el compromiso inicial se remonta a un sistema comprometido en cPanel . La violación permitió el ataque indirecto de algunos sistemas que usan cPanel, y el atacante tenía la costumbre de instalar un rootkit que colocaba una puerta trasera en SSH.
La metodología general para comprender lo que sucedió y lo que ocurre en la investigación es la misma que en cualquier caso de depuración post mortem: recopilar datos & Pensar mucho. Si muchas máquinas se vieron comprometidas, intente resolver lo que tienen en común. Inspeccione todos los archivos de registro. Tome una imagen de byte a byte del disco duro de una máquina afectada y vea si hay cosas interesantes en los archivos eliminados (la mayoría de los atacantes cubrirán sus pistas eliminando los archivos temporales que usaron, pero pocos se molestarán en llenar el disco correspondiente) Zonas con ceros). Esto se llama forensics y es una experiencia en sí misma.
Creo que un buen cortafuegos de capa de aplicación o de ocultación puede reducir el tiempo de respuesta que se requiere en análisis profundos como el análisis forense. También creo que, en caso de un ataque complicado, ninguna caja forense es suficiente, dependiendo del alcance de la investigación, todos los sistemas que incluyan dispositivos de red, DNS y servidores redundantes se pondrán para lo mismo. A veces las pistas se dejan en el lugar donde menos te esperas. Solo puede indicar o seguir el camino de la distracción si obtuvo los controles en los niveles requeridos. Sin controles completos, nunca sabría dónde se originó el ataque, por ejemplo, un empleado descontento a través del servidor vlan es uno.
Hay una gran diferencia relacionada con el resultado de realizar un análisis forense cuando se realiza en una computadora muerta y seca en comparación con un sistema con habilitación de auditoría completa y, en la parte superior, solo el software para controlar dichas violaciones. Los artefactos son muchos en este último caso.