我试图编译一个程序,当有人怀疑,也许从netflow数据或类似的东西,服务器可能会受到威胁。 逻辑是,你应该冷静而冷静地思考这些事情,然后才能真正发生,压力和肾上腺素都在stream动。
任何人都可以推荐一些我应该熟悉的好资源来帮助我起草一个合理的程序吗?
我正在寻找有关如何确认可疑的信息,以及发现黑客时应该怎么做的信息。
您可以按计划运行chkrootkit之类的东西。 http://www.chkrootkit.org/与rkhunter相同。
查找可疑进程并closures不必要的守护进程。
如果这是基于rpm的系统,则可以查看rpm verify( rpm -vVa )的输出以查找已安装软件包中的更改。
总有Tripwire … http://tripwire.org/
假设您明确没有解决防止妥协的问题,也没有从妥协中恢复的问题….
在它发生之前
您需要有安全的日志logging – 即日志数据应该立即发布到一个单独的盒子进行logging。
您应该有一个基于主机的IDS来检测未经授权的更改 – 再次使用数据存储器(如tripwire / LIDS)
你还需要立即计划你要做什么,你怀疑有妥协 – 你有一个单独的单位,你可以交换? 如果它是直接复制,那么它将具有与正在replace的盒子相同的漏洞。 它可以被configuration为提供更好的安全性(例如,只读文件系统的Web服务器和简单的内容)的服务减less。
决定涉及执法的标准。 如果你可能会涉及到他们,而且他们很可能会感兴趣的话,请事先和他们联系,询问如何让他们的生活更轻松。
获得所有利益相关者对计划响应的一致意见。
发现
除了基本的exception检测之外,您还应该检查入侵检测系统的输出,并定期运行rootkit检查,同时也会频繁地扫描对应的端口扫描。 日常的日常检查应该包括日志分析。
尽pipe上述方法在攻击者修改系统的情况下是有价值的,但是它们没有解决信息泄露的问题。 AFAIK解决这个问题的唯一明智的方法是通过蜜jar数据(例如电子邮件地址,用户帐户)。
当它发生
拔出插头。 认真。 系统closures可能会对系统进行重大更改。 您希望它尽快与networking上的任何其他设备断开连接 – 但是您需要尽可能多地保留系统的状态。
如果你要涉及执法 – 在你做其他事情之前让他们知道。
如果你想调查自己,从USB / CD启动系统 – 而不是从安装的操作系统。
您不会仅仅通过查看netflow输出来确定这一点,因为这还不够详细。
相反,我build议以Netflow怀疑为出发点:观察一段时间,看看它是否趋于上升或下降,如果您怀疑可能会导致服务中断,请拔掉受影响的插件机(一个或多个)。
永远不要在活箱上进行取证。 如果怀疑变得足够敏锐,你可以把盒子从networking上拉下来,然后在你的闲暇时间检查这个沉降物。