被黑客攻击后对linux box进行取证分析的主要步骤是什么? 可以说这是一个通用的Linux服务器的邮件/networking/数据库/ FTP / SSH /桑巴。 它开始发送垃圾邮件,扫描其他系统。如何开始search黑客做的方式和谁负责?
其他pipe理员如何监控他们的服务器以检测未经授权的访问和/或黑客攻击? 在一个更大的组织中,更容易引起人们的注意,但是在一个更小的商店里,你如何有效地监控你的服务器? 我倾向于浏览服务器日志,寻找任何跳出我的东西,但是很容易错过。 在一个案例中,我们被低硬盘驱动器空间告诫:我们的服务器被接pipe为一个FTP站点 – 他们做了一个很好的工作,通过与FAT表混淆。 除非您知道文件夹的具体名称,否则它不会显示在资源pipe理器,DOS或search文件时。 人们正在使用哪些其他技术和/或工具?
我的客户端有一台服务器正在遭受来自僵尸networking的powershelllogin尝试。 由于服务器和客户端的变化无常,我们不能通过防火墙,端口更改或login帐户名称的变化轻易地阻止这些尝试。 已经做出决定让它公开进行攻击,但find一种保持密码安全的方法。 pipe理层和其他一些顾问已经确定,最好的办法是安装密码轮换软件,每10分钟轮换一次密码,并向需要login的用户提供新的密码。 蛮力企图每秒发生两次。 我需要certificate的是,使用12-15个字符来实现强密码是一个更简单和免费的解决scheme。 我知道如何用math来certificate这一点,但我只是写了类似于“我们的密码有许多可能的排列组合,攻击者每天只能尝试n次尝试,因此我们希望他们去x /平均2天之后,他们就猜测我们的密码。“ 有没有更标准的“证据”呢?
印度德里的一些剧本小孩从昨晚开始一直在试图破解我们的网站。 他编写了一个浏览器脚本,用大量的嵌套循环来请求我们的服务器,在阳光下试试一切。 他没有到任何地方,甚至没有越过我们的基本防御(但他正在填写我们的日志文件)。 他们进来的时候,我们发回了一个403 Unauthorized的请求,但是我们越快阻止他的请求,他的脚本运行得越快。 我们想在回复403响应之前引入某种“延迟”。 时间越长越好。 问:如何在不影响网站其他部分的情况下延迟黑客入侵? 我认为他的线程上的睡眠(15000)对其他网站访问者来说是个坏消息。 纺一个新的线程只是为了他似乎是矫枉过正。 还有其他方式发送延迟响应吗? 我们可以迫使他的浏览器等多久? 我想如果他得到了403 Unauthorized错误,或者最终超时,我都不在乎,所以我们甚至可以做一个无限期的/无限的等待。
巧合的是,我看着我的服务器的SSH日志(/var/log/auth.log),我注意到有人不断尝试获得访问权限: Sep 7 13:03:45 virt01 sshd[14674]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.42 user=root Sep 7 13:03:48 virt01 sshd[14674]: Failed password for root from 116.31.116.42 port 13423 ssh2 Sep 7 13:03:52 virt01 sshd[14674]: message repeated 2 times: [ Failed password for root from 116.31.116.42 port 13423 ssh2] Sep 7 13:03:52 virt01 sshd[14674]: Received […]
从一个失败的恶意SSH尝试中可以得知“用户”是什么? input的用户名( /var/log/secure ) input密码(如果已configuration,即使用PAM模块) 源IP地址( /var/log/secure ) 有什么方法可以提取其他东西吗? 无论是信息隐藏在日志文件,随机技巧或从第三方工具等
什么是Linux服务器被黑客攻击的迹象? 是否有任何工具可以按计划生成并通过电子邮件发送审计报告?
有人第二次在我帮助运行的网站上附加了一段javascript。 这个javascript劫持谷歌的AdSense,插入自己的帐号,并坚持广告。 代码总是附加在一个特定的目录(一个由第三方广告程序使用的目录),会影响这个广告目录(大约20个)内的多个目录中的文件数量,并且在大致相同的时间插入时间。 AdSense帐户属于中文网站(位于一个小镇,不到一个小时,我将在下个月到中国),也许我应该去破坏头…开玩笑,顺便说一下),顺便说一句…这是关于该网站: http : //serversiders.com/fhr.com.cn 那么,他们如何将文字追加到这些文件呢? 它与文件上设置的权限有关(从755到644)? 对于networking服务器用户(这是MediaTemple所以它应该是安全的,是吗?)? 我的意思是,如果你有一个权限设置为777的文件,我仍然不能随意添加代码…他们怎么可能这样做呢? 下面是一个实际的代码为你的观看乐趣的样本(正如你所看到的…没有太多的东西,真正的诀窍是他们如何得到它): <script type="text/javascript"><!– google_ad_client = "pub-5465156513898836"; /* 728x90_as */ google_ad_slot = "4840387765"; google_ad_width = 728; google_ad_height = 90; //–> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> 由于许多人已经提到它,这里是我已经检查(通过检查我的意思是我周围的时间文件修改任何古怪的时间,我grepped文件的POST语句和目录遍历: access_log(除了正常(即过度)的msn botstream量) error_log(没有什么,但通常的文件不存在无害的外观文件错误) ssl_log(只是平时的) messages_log(在这里除了我以外没有FTP访问) *更新:**好的,解决了。 来自中国的黑客已经在我们的网站上放置了一个文件,允许他们执行各种pipe理事务(数据库访问,删除和创build文件和目录,你可以命名它们可以访问)。 我们很幸运,他们没有做更具破坏性的事情。 在正常的apache日志文件中没有任何东西,但是我在Web服务器日志分析器中发现了一组不同的日志文件,证据就在那里。 他们用自己的pipe理员用户名和密码访问这个文件,然后在服务器上编辑他们需要的任何东西。 他们的文件有“apache”作为用户,而我们网站上的所有其他文件有不同的用户名。 现在我需要弄清楚他们是如何将这个文件物理地传到我们的系统上的。 我怀疑这个问题最终会归于我们的networking主机(Media Temple),除非他们真的有我们的FTPlogin…不知道我将如何确定,但是,因为这个文件可能已经有一段时间了。
在服务器妥协之后读到这个问题之后,我开始想知道为什么人们似乎仍然认为他们可以使用检测/清理工具来恢复受感染的系统,或者只是修复用来危害系统的漏洞。 鉴于所有各种rootkit技术和黑客可以做的其他事情,大多数专家build议你应该重新安装操作系统 。 我希望能够更好地理解为什么更多的人不会把这个系统从轨道上取下来, 这里有几点,我希望看到解决。 是否有格式/重新安装不会清理系统的情况? 在什么types的条件下,你认为一个系统可以清理,什么时候你必须做一个完整的重新安装? 你有什么理由反对完全重新安装? 如果你select不重新安装,那么你有什么方法可以合理地确信你已经清理,并防止再次发生进一步的损害。
这是关于服务器安全的典型问题 – 响应违规事件(黑客) 也可以看看: 保护LAMP服务器的技巧 重新安装根妥协后? 规范版本 我怀疑我的一台或多台服务器受到黑客,病毒或其他机制的危害: 我的第一步是什么? 当我到达现场时,我应该断开服务器,保存“证据”,是否有其他初步考虑? 我怎样才能让服务恢复在线? 如何防止同样的事情再次发生? 有没有从这个事件中学习的最佳实践或方法? 如果我想共同制定一个事件响应计划,我会从哪里开始? 这应该是我的灾难恢复或业务连续性计划的一部分吗? 原始版本 2011.01.02 – 周日晚上9点30分我正在上class,因为我们的服务器已经被攻破,导致我们的供应商遭到DOS攻击。 访问互联网的服务器已经closures,这意味着超过5-600的客户端网站已经closures。 现在,这可能是一个FTP黑客,或者在某处代码的一些弱点。 我不知道,直到我到达那里。 我怎样才能快速追踪到这一点? 如果我没有尽快恢复服务器,我们会面临很多诉讼。 任何帮助表示赞赏。 我们正在运行Open SUSE 11.0。 2011.01.03 – 感谢大家的帮助。 幸运的是,我不是唯一负责这台服务器的人,只是最近的。 我们设法解决了这个问题,虽然它可能不适用于其他情况下的许多其他人。 我会详细介绍我们做了什么。 我们从networking上拔下了服务器。 在印度尼西亚的另一台服务器上正在执行(试图执行)拒绝服务攻击,有罪方也在那里。 我们首先试图确定服务器上的来源,考虑到我们在服务器上有超过500个站点,我们预计会有一段时间的出现。 但是,仍然使用SSH访问,我们运行了一个命令来查找攻击开始时编辑或创build的所有文件。 幸运的是,这个有问题的文件是在冬季假期创build的,这意味着当时在服务器上创build的文件并不多。 然后,我们能够识别ZenCart网站上传的图像文件夹中的有问题的文件。 经过短暂的rest后,我们得出的结论是,由于文件的位置,它必须通过一个file upload工具上传,而这个file upload工具并不安全。 经过一些Googlesearch之后,我们发现存在一个安全漏洞,允许在ZenCartpipe理面板中上传文件以获取唱片公司的照片。 (它从来没有真正使用过的部分),张贴这个表单只是上传了任何文件,没有检查文件的扩展名,甚至没有检查用户是否login。 这意味着可以上传任何文件,包括攻击的PHP文件。 我们在受感染的网站上使用ZenCart保护了这个漏洞,并删除了违规文件。 工作完成了,我在凌晨2点回家了 道德 – 始终为ZenCart或任何其他CMS系统应用安全补丁。 当安全更新发布时,整个世界都意识到了这个漏洞。 – 总是进行备份,并备份您的备份。 – […]