我刚刚浏览该网站并发现了这个问题:我的服务器被黑了 紧急求助。问题基本上是:我的服务器被黑客入侵了。我该怎么办?
这最佳答案非常棒,但它也让我产生了一些疑问。建议的步骤之一是:
检查“受攻击”的系统,了解攻击如何成功破坏您的安全。尽一切努力找出攻击“来自哪里”,以便您了解存在哪些问题以及需要解决哪些问题,以确保您的系统将来安全。
我没有做过任何系统管理工作,所以我不知道该如何开始做这件事。第一步是什么?我知道你可以查看服务器日志文件,但作为攻击者,我要做的第一件事就是删除日志文件。 您如何“理解”这些袭击是如何成功的?
答案1
我首先要说的是,如果你有没有日志文件,那么你很有可能会绝不了解攻击在哪里或如何成功。即使有完整且正确的日志文件,也很难完全了解谁、什么、在哪里、何时、为什么以及如何。
因此,了解日志文件的重要性后,您就会开始明白必须如何安全地保存它们。这就是为什么公司应该投资于安全信息和事件管理或简称 SIEM。
简而言之,将所有日志文件与特定事件(基于时间或其他)关联起来可能是一项极其艰巨的任务。如果您不相信我,只需在调试模式下查看防火墙系统日志即可。而且这还只是来自一个设备!SIEM 流程将这些日志文件放入一系列逻辑事件中,这使得弄清楚发生了什么变得更容易理解。
为了更好地理解如何做到这一点,有必要研究一下渗透方法。
建立和研究蜜罐。
收集网络和系统的基准数据会很有帮助。您认为的“正常”流量和“异常”流量分别是什么?
计算机应急响应小组 (CERT)有一份关于你的计算机被黑客入侵后该做什么的出色指南,最值得注意的是(直接与你的具体问题相关)“分析入侵”部分:
- 查找对系统软件和配置文件所做的修改
- 查找数据修改
- 寻找入侵者留下的工具和数据
- 查看日志文件
- 寻找网络嗅探器的迹象
- 检查网络上的其他系统
- 检查远程站点涉及或受影响的系统
在 SF 上有很多与你类似的问题:
这可能是一个极其复杂和繁琐的过程。如果事情比我的 SIEM 设备所能完成的还要复杂,包括我在内的大多数人都会聘请顾问。
显然,如果你想充分了解你的系统是如何被黑客入侵的,你必须花费年 研究它们并放弃女人。
答案2
这个问题的答案可能千差万别,而解开被黑客入侵的服务器背后的真相几乎可以像其他任何事情一样成为一门艺术,因此,我将再次给出起点和示例,而不是一套明确的步骤供大家遵循。
要记住的一件事是,一旦您遇到入侵,您就可以审核您的代码、系统管理/配置和程序,因为您知道那里肯定存在弱点。这比寻找可能存在也可能不存在的理论弱点更有助于激发动力。人们经常把东西放在网上,同时知道如果我们有时间,代码可能会被审核得更严格一些;或者系统锁定得更牢固一些,只要它不那么不方便;或者程序会更严格一些,只要老板不费心记住长密码。我们都知道我们最有可能的弱点在哪里,所以从那些地方开始吧。
理想情况下,你会将日志存储在不同的位置(希望不会受到损害)系统日志服务器,不仅仅是服务器,还包括任何防火墙、路由器等,它们也会记录流量。还有一些工具,例如涅索斯可以分析系统并寻找弱点。
对于第三方的软件/框架,通常有最佳实践指南可用于审核您的部署,或者您可以更加关注安全新闻和修补计划并发现可能已被利用的一些漏洞。
最后,大多数入侵都会留下痕迹……如果你有时间和耐心去寻找它的话。“驱动式”脚本小子入侵或使用黑客工具包的入侵往往侧重于常见的弱点,并能留下一个模式来指引你正确的方向。最难分析的可能是手动入侵(例如,有人不想入侵“某个”网站,而是想专门入侵“你的”网站),当然,这些是最重要的事情。
对于真的不知道从哪里开始的人(或者即使是有其他职责的经验丰富的人),第一步可能是聘请对上述步骤有丰富经验的人。这种方法的另一个优点是,他们将在不带任何先入为主的观念或个人利益的情况下查看您的设置。
答案3
“我知道你可以查看服务器日志文件,但作为攻击者,我要做的第一件事就是删除日志文件。”
根据入侵类型,攻击者可能没有足够高的权限来清除被入侵的服务器日志。最佳做法是将服务器日志保存在另一台服务器上,以防止篡改(以一定时间间隔自动导出)。
除了受损的服务器日志外,还有网络日志(防火墙、路由器等)以及目录服务的身份验证日志(如果有的话)(Active Directory、RADIUS 等)
因此查看日志仍然是可以做的最好的事情之一。
当处理受损的盒子时,筛选日志始终是我将发生的事情拼凑在一起的主要方法之一。
-乔希