GNU/Linux >> Znalost Linux >  >> Linux

Zkontrolujte, zda nedošlo k ohrožení zabezpečení:Vyšetřování záchranného režimu

V článku Kontrola bezpečnostního kompromisu:Zadní dveře a vetřelci jste se naučili některé základní techniky pro shromažďování informací potřebných k identifikaci narušitelů, kteří narušili váš server. Tento článek popisuje, jak používat Záchranný režim cloudového ovládacího panelu abyste se blíže podívali na váš systém. Záchranný režim můžete použít k lepšímu pochopení toho, jak byl váš server kompromitován, a k identifikaci nekompromitovaných souborů před zálohováním dat.

Aktivovat záchranný režim

Protože může být ohrožen i operační systém vašeho cloudového serveru, nemůžete se na něj spolehnout. Vetřelec mohl kompromitovat binární soubory jako „ls“, „find“ a „netstat“, takže jejich výstup by vás mohl uvést v omyl. V důsledku toho musíte použít jiné prostředí operačního systému, abyste mohli bezpečně prozkoumat kompromis.

Můžete to udělat pomocí funkce záchranného režimu, která je k dispozici v ovládacím panelu Cloud. Pokyny a další informace naleznete v části Záchranný režim.

Zatímco je váš server v záchranném režimu, můžete provést následující akce k nalezení zdroje kompromitace.

Vyhledat rootkity

Doporučujeme, abyste si nainstalovali a používali následující nástroje ke kontrole vašeho systému na přítomnost rootkitů.

Vyhledat rootkity pomocí chkrootkit

chkrootkit hledá známé signatury v kompromitovaných binárních systémech. Například některé kompromitované verze ps mít „/dev/ptyp “ uvnitř nich. Doporučujeme nainstalovat chkrootkit pomocí správce balíčků místo kompilace ze zdroje. Další možnosti a informace o používání chkrootkit najdete na http://www.chkrootkit.org/README.

  1. Chcete-li jej nainstalovat, spusťte následující příkaz:

     apt-get install chkrootkit

  2. Spusťte chkrootkit proti připojenému systému souborů cloudového serveru:

     chkrootkit -r /mnt/demo

Následující zprávy jsou vytištěny chkrootkit během jeho testů:

  • INFECTED - test identifikoval příkaz pravděpodobně upravený známým rootkitem

  • not infected - test nenalezl žádný známý podpis rootkitu

  • not tested - test nebyl proveden

    K tomu může dojít v následujících situacích:

    • Test je specifický pro operační systém
    • Test závisí na externím programu, který není dostupný
    • Jsou uvedeny některé specifické možnosti příkazového řádku (například -r )

  • not found - příkaz, který má být testován, nebyl nalezen

  • Vulnerable but disabled - příkaz je infikován

Další možnosti a informace o používání chkrootkit , viz https://www.chkrootkit.org/README.

Vyhledat rootkity pomocí rkhunter

Rootkit Hunter (rkhunter ) kontroluje systémy s databází známých rootkitů. Může také kontrolovat ostatní systémové soubory, aby se ujistil, že jsou v souladu s očekávanými vlastnostmi a hodnotami.

  1. Přihlaste se do své terminálové aplikace a přejděte na sources adresář:

     cd ~/sources

  2. Stáhněte si nejnovější verzi rkhunter z oblasti stahování SourceForge:

     https://sourceforge.net/projects/rkhunter/files/

  3. Po instalaci rkhunter , spusťte jej proti /mnt/demo .

     rkhunter -c -r /mnt/demo

rkhunter během testů vytváří varování, která indikují, kde se soubor odchýlil od očekávaných výchozích hodnot. Po testu můžete zkontrolovat protokol a zobrazit podrobnější informace o tom, které soubory vyvolaly varování. Další možnosti a informace o používání rkhunter , viz https://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/README.

Zkontrolovat poslední příkazy

Chcete-li získat představu o tom, jak došlo k prolomení zabezpečení cloudového serveru, zkontrolujte, které příkazy usersran před tím, než byl cloudový server ohrožen.

historie .bash obsahuje poslední příkazy použité v prostředí Bash. Musíte zkontrolovat .bashhistory soubory v domovském adresáři každého uživatele. Nejdůležitější .bashhistory soubor patří rootovi:/root/.bashhistory .

Kompromitovaný cloudový server může mít položky jako následující:

wget https://malware.tar.gz
gunzip malware.tar.gz
tar xf malware.tar

Zkontrolujte nainstalované balíčky

Všechny změny systému balení jsou uloženy v /var/log/dpkg.log distribuce založené na onDebianu. Zkontrolujte tento soubor, zda neobsahuje nějakou podezřelou aktivitu, jako jsou nainstalované nebo odstraněné balíčky nebo upravená sběrnice.

Spuštěním následujícího příkazu zobrazíte posledních 50 řádků souboru dpkg.log soubor:

tail 50 /mnt/demo/var/log/dpkg.log

Použijte příkaz find

find Příkaz se obvykle používá k vyhledání názvů souborů se specifickými vzory. Můžete jej však také použít k nalezení souborů, které byly změněny nebo zpřístupněny v určitém časovém období.

Všechny soubory můžete například najít v /etc vlastněné rootem, které byly během posledních dvou dnů upraveny následovně:

find /mnt/demo/etc -user root -mtime -2

Dostupné možnosti jsou následující:

-atime: when the file was last accessed
-ctime: when the file's permissions were last changed
-mtime: when the file's data was last modified

Všimněte si znaménka mínus před „2“ v předchozím příkladu. Možnosti „čas“ pro find příkazy jsou vyjádřeny ve 24hodinových krocích a symbol použitý před číslem může znamenat méně než nebo větší než „-2“ tedy znamená, že chcete najít soubory, které byly změněny během posledních dvou dnů. Pokud chcete najít soubory, které byly upraveny před více než 2 dny, použijte +2 :

find /mnt/demo/etc -user root -mtime +2

Existují také verze atime , ctime a mtime argumenty, které měří čas v minutách:

-amin: when (in minutes) the file was last accessed
-cmin: when (in minutes) the file's permissions were last changed
-mmin: when (in minutes) the file's data was last modified

Příklad

Najděte všechny soubory na vašem cloudovém serveru, které vlastní demo uživatelé, ke kterým se přistoupilo během posledních pěti minut:

find /mnt/demo -user demo -amin -5

Následující seznam find možnosti příkazů mohou být užitečné při vyšetřování napadeného cloudového serveru:

-nouser: shows output not associated with an existing userid
-nogroup: shows output not associated with an existing groupid
-links n: file has n links
-newer file: file was modified more recently than file
-perm mode: file has mode permissions

Kontrola protokolů a podezřelých souborů

Narušitele můžete najít kontrolou podezřelých souborů v /tmp ,/var/tmp , /dev/shm , /var/spool/samba , /var/spool/squid a/var/spool/cron .

Můžete se také podívat na soubory protokolu v /var/log adresář. Například auth.log zaznamenává přihlašovací údaje uživatele, včetně IP adres.

Přehled

V části Kontrola bezpečnostního kompromisu:Zadní vrátka a vetřelci jste se naučili některé techniky, které lze použít k odhalování zadních vrátek a sledování narušitelů na vašem cloudovém serveru. To vám pomůže vyhnout se situaci nebo chybě, která vedla ke kompromisu, a minimalizovat tak šanci na budoucí kompromisy. V tomto článku jste se naučili, jak prozkoumat váš cloudový server v záchranném režimu.

Možnost ztráty dat je reálná, ať už je způsobena viry, poškozením souborů, selháním stroje nebo jinými nepředvídatelnými nehodami. Abyste předešli narušení, které může taková ztráta způsobit, pravidelně zálohujte své soubory. Následující jsou některé možnosti, které vám pomohou zabezpečit vaše soubory:

  • Rackspace Cloud Backup je dobrou volbou pro zákazníky cloudových serverů. Je plně integrován s cloudovými servery a je souborovou alternativou zálohování celého image serveru.
  • Pro ty, kteří to raději dělají sami, viz Zálohování souborů pomocí rsync.

Linux

  1. Populární linuxové distribuce pro testování zabezpečení

  2. Zakázat uživatelské prostředí z bezpečnostních důvodů?

  3. Zkontrolovat proces, pokud je stejný?

  1. Existuje jedna vložka ke kontrole souboru?

  2. Zkontrolujte databázi, zda není poškozená

  3. Zkontrolujte bezpečnostní kompromis:zadní dveře a vetřelci

  1. Zkontrolujte konfigurační soubory Linuxu, zda neobsahují chyby syntaxe

  2. Prozkoumejte napadený server Windows

  3. Zkontrolujte platnost IP