Si sospecho que mi servidor está en peligro, ¿debería desconectarlo de inmediato o no? ¿Desde el poder o la red?

9

Según Mandiant, no debes:

  

Error # 1: Ingresando de inmediato en "modo remediaton", también conocido como "Whack-A-Mole"
  ... como se describe aquí: enlace

¿Hay escenarios en los que es prudente tomar medidas inmediatas desconectándose?

Combinado con esta pregunta, ya que las respuestas deberían ser útiles y similares:

Cuando un servidor se enraiza (por ejemplo, una situación como esta), una de las primeras cosas que puede decidir hacer es la contención. Algunos especialistas de seguridad aconsejan no ingresar remediación de inmediato y mantener el servidor en línea hasta que se completen los análisis forenses. Esos consejos son usualmente para APT. Es diferente si tiene infracciones ocasionales de Script para niños, por lo que puede decidir remediar (arreglar las cosas) temprano. Uno de los pasos en la remediación es la contención del servidor. Citando la respuesta de Robert Moir: "desconecte a la víctima de sus atracadores".

Se puede contener un servidor tirando del cable de red o del cable de alimentación.

¿Qué método es mejor?

Teniendo en cuenta la necesidad de:

  1. Proteger a las víctimas de daños mayores
  2. Ejecutando forenses exitosos
  3. (Posiblemente) Protegiendo datos valiosos en el servidor

Edición: 5 suposiciones

Suponiendo:

  1. Lo detectaste temprano: 24 horas.
  2. Desea recuperarse temprano: 3 días de 1 administrador de sistemas en el trabajo (análisis forense y recuperación).
  3. El servidor no es una máquina virtual o un contenedor que pueda tomar una instantánea que capture el contenido de la memoria del servidor.
  4. Usted decide no intentar enjuiciar.
  5. Sospecha que el atacante puede estar usando algún tipo de software (posiblemente sofisticado) y este software todavía se está ejecutando en el servidor.
pregunta Tate Hansen 12.11.2010 - 10:08
fuente

7 respuestas

6

Similar a lo que dijo @AviD: si puede determinar de alguna manera que esta aplicación / host / red comprometida está activamente en progreso con otro ataque, podría ser conveniente al menos tirar del cable de red, ¿verdad? Esto también supone que no puedes controlar el ataque de alguna otra manera, o que las cosas se han salido de control.

Esto probablemente excluye cualquier proceso o infraestructura, y también requiere personal poco cualificado o no intelectual.

Usted sabe que es hora de los aficionados cuando extraen la alimentación, la red o los discos de una máquina comprometida.

    
respondido por el atdre 15.11.2010 - 16:11
fuente
9

La respuesta depende de tu nivel de sofisticación, el nivel de sofisticación del atacante y tus objetivos.

La publicación del blog Mandiant, de uno de los principales proveedores de servicios de respuesta a incidentes y análisis forense informáticos, está dirigida a organizaciones sofisticadas que responden a una Amenaza Persistente Avanzada (APT). Una de sus preocupaciones es que es posible que ni siquiera resuelvas el problema si no puedes observar cómo funcionan los atacantes en varios sistemas de tu red.

Pero la mayoría de los incidentes de seguridad son ataques menos sofisticados en máquinas mal administradas. En este caso, creo que es mejor seguir los consejos en la respuesta altamente calificada a la pregunta de Error del servidor " Se ha pirateado mi servidor de EMERGENCIA ", lo que sugiere que la desconexión del servidor suele ser la primera respuesta, aunque no debe actuar con prontitud.

    
respondido por el nealmcb 04.01.2011 - 14:52
fuente
3

Respuesta útil a través de aquí por Robert Moir: un chat muy bueno en Serverfault sobre esto.

    
respondido por el Rory Alsop 04.01.2011 - 13:10
fuente
1

Sí, si detecta un ataque activo actualmente en curso , y su mecanismo de detección le asegura que el atacante aún no ha "mejorado" su sistema, o alcanzado su objetivo.

Tenga en cuenta que esto solo puede ser relevante si tiene implementados mecanismos de detección sólidos e inteligentes, con correlación en línea y notificaciones activas.

    
respondido por el AviD 12.11.2010 - 11:03
fuente
1

Los análisis forenses de RAM (por ejemplo, / dev / shm) pueden ser útiles.

Pero prefiero desconectar el cable de alimentación (pero intente iniciar sesión y rsync / proc justo antes).

Los motivos para elegir el cable de alimentación son:

  1. Cuando haces análisis forenses en un sistema pirateado, estás "caminando por toda la escena del crimen"
  2. El kit raíz sigue ejecutándose, no es tan difícil para el malicioso ejecutar algo (por ejemplo, el borrado del sistema) en el evento Enlace de red desactivado .

Kyle Rankin dio una agradable charla de Intro to Forensics : allí recomienda desconectar el cable de alimentación .

    
respondido por el Aleksandr Levchuk 06.01.2011 - 00:31
fuente
1

Depende.

El blog de Mandiant se centra en la APT. Si esa es tu principal preocupación, su consejo puede tener mérito.

Sin embargo, también hay muchas organizaciones en las que la APT probablemente no sea la principal preocupación, y para esas organizaciones, puede ser razonable desconectar el acceso de red a una máquina comprometida tan pronto como detecte un compromiso.

Por ejemplo, en una organización que conozco bien, la seguridad es, relativamente razonablemente, una prioridad relativamente baja. No hay manera de que vayan a hacer una investigación forense en cada máquina que ha sido comprometida. No podían permitírselo; y probablemente sería demasiado perturbador, también. Si sabe que no va a hacer una investigación forense en todas las máquinas comprometidas, hay pocas razones para retrasar la extracción del enchufe. Del mismo modo, no son un objetivo probable para las APT; En su mayor parte, no tienen datos de valor suficiente. Su principal desafío es la penetración cotidiana de "script-kiddy" en las máquinas administradas por usuarios.

    
respondido por el D.W. 07.01.2011 - 06:55
fuente
1

Estoy totalmente de acuerdo con nealmcb.

  1. Si se enfrenta a un "APT" y desea investigar sobre el servidor comprometido, puede dejar el servidor comprometido y analizar el tráfico de red que va desde / hacia su servidor. Esto necesita tiempo para investigar y el hacker continuará explorando su infraestructura de TI ...

  2. El sentido común es desconectar el servidor inmediatamente para evitar el uso no autorizado de su infraestructura.

Mi consejo sería desconectar el servidor a menos que tengas mucho tiempo para hacer análisis forense.

    
respondido por el user933 04.01.2011 - 19:20
fuente

Lea otras preguntas en las etiquetas