当服务器被 root 时(例如像这样),你可能决定做的第一件事之一就是遏制。 一些安全专家建议不要立即采取补救措施并保持服务器在线,直到取证完成。这些建议通常适用于易于。如果你偶尔脚本小子违规行为,因此您可能决定尽早进行补救(修复问题)。补救措施之一是遏制服务器。引自Robert Moir 的回答- “将受害者与劫匪分开”。
可以通过拉动网线或者电源线。
哪种方法更好?
考虑到需要:
- 保护受害者免受进一步伤害
- 执行成功的取证
- (有可能)保护服务器上的宝贵数据
编辑:5 个假设
假设:
- 您检测得早:24小时。
- 您想尽早恢复:1 名系统管理员工作 3 天(取证和恢复)。
- 该服务器不是虚拟机或容器,无法拍摄快照来捕获服务器内存的内容。
- 您决定不尝试起诉。
- 您怀疑攻击者可能正在使用某种形式的软件(可能很复杂),并且该软件仍在服务器上运行。
答案1
如果您面临 APT,那么最好的选择是设置蜜罐并彻底调查进出蜜罐的所有流量,同时监控服务器。
检查内存的措施在时间和精力上非常昂贵,因此除非您尝试了所有其他方法,否则通常是不值得的,如果您确定这是值得的,那么最好设置一个蜜罐,使您可以轻松地将内存和系统状态转储到另一台机器上,这样您就可以在机器启动和运行时进行分析,而检测到的威胁较小。
我曾经遇到过这种情况,攻击者将所有内容都保存在内存中,以至于除了日志之外,机器在关闭并重新打开后看起来与图像完全一样。然后他们会再次入侵并开始使用它,因为漏洞仍然存在 - 他们不需要为自己留下任何后门。内存评估可能会有所帮助,但在这种情况下,观察流量足以快速识别漏洞。
所以:
避免关闭电源并进行离线磁盘评估的唯一原因是,如果您要经历在威胁存在并运行时对其进行彻底内存分析的痛苦。如果您已经到了需要这样做的地步,那么就没有理由关闭电源或进行离线磁盘评估。
如果您不进行内存分析,那么拔掉电源插头是最好的选择 - 拔掉以太网(或使用关机命令)只会提前通知攻击者的软件 - 这有时确实很重要。
所以:
拉它们两个,除非你正在进行记忆分析,在这种情况下,不要拉任何一个。
答案2
RAM 取证(例如 /dev/shm)可能会有帮助。
但我更喜欢拔掉电源线(但在此之前尝试登录并 rsync /proc)。
选择电源线的原因有:
- 当你在被黑客入侵的系统中做取证时,你正在“走遍犯罪现场”
- 根工具包继续运行——对于恶意程序来说,执行某些操作(例如系统清除)并不困难网络链路中断事件。
Kyle Rankin 给了一个很好的法医学简介谈话 - 他建议拔电源线。
答案3
断开网络。如果没有网络连接,攻击者就无法获取任何其他信息。没有电,进行任何取证工作都非常困难(也就是说不可能)。
答案4
这不是非此即彼的情况。您通常希望同时执行这两项操作 - 您希望在已从网络中删除的系统上执行某些取证(转储正在运行的进程、监听套接字、/tmp 中的文件等),然后从安全环境(即实时 CD)执行剩余的诊断。但是,有些情况下,这两种方法都不合适,您需要考虑并了解您的组织中可能存在哪些情况。