что делать если взломали


Задача:

Вы обнаружили вторжение на ваш сервер, что делать?

Решение:

Важно оставаться спокойным. Поспешные действия могут принести больше вреда, нежели сам взломщик.

Я здесь опишу только общие принципы, а не конкретные действия. Иначе получилась бы огромная книга.

Нарушение безопасности в процессе

Например вы обнаружили пользователя выполняющего подозрительные действия и пытающегося нарушить систему безопасности. Если он воспользовался существующей учетной записью, то нужно сразу нужно выяснить - это владелец учетной записи или злоумышленник похитил или подобрал данные доступа.

Выясните откуда он пришел. Проверьте логи - та ли это система или сеть откуда он обычно входит? Нет? Тогда позвоните владельцу данных доступа по телефону или свяжитесь с ним любым другим доступным способом, сообщите ему об инциденте.

Если он признает, что это был он, потребуйте с него объяснений, что и зачем он делал.

Если это был не он и не может понять о чем идет речь, то скорее всего этот инцидент требует дальнейшего расследования. Предупредите владельца данных доступа использовать сложные парольные фразы. Тщательно исследуйте инцидент и, прежде чем выдвигать обвинения, соберите побольше доказательств.

После выявления атакующего заблокируйте ему доступ. Если вы обнаружили множественное вторжение, отключите доступ к системе вообще со всех адресов кроме вашего.

Нарушение безопасности уже произошло

Итак, вы либо обнаружили нарушение безопасности, которое уже произошло, либо обнаружили его и заблокировали деятельность взломщика в вашей системе (короче, выдворили его). Что же теперь?

Копирование взломанной системы

Вам нужно обеспечить минимальный перерыв в работе, но расследование требует много времени. Для этого необходимо сделать резервную копию взломанной системы.

При работе с копией взломанной системы, будьте особенно внимательны к выполняемым файлам, поскольку они могут быть «троянами», оставленными взломщиком. Они могут повредить систему на которой вы будете делать анализ взлома.

Закрыть дыру

Проверьте все ваши журнальные файлы. Если вы можете определить, что использовал взломщик для внедрения в вашу систему, вы должны попытаться закрыть эту дыру. Например, возможно вы увидите несколько ftp входов, прежде чем пользователь зарегистрировался. Выключите FTP сервис и проверьте, существует ли его обновленная версия или какой либо список заплаток известных ошибок.

Если вы не локализовали и не заблокировали взломщика, вероятнее всего он вернется.

Посетите специализированные сайты и web узлы для поиска каких либо новых обнаруженных ошибок, которые вы можете исправить.

Оценка повреждений

Нужно оценить повреждения. Что было нарушено? Если вы используете тестер целостности, такой как Tripwire — запустите его и он вам все расскажет. Если нет, просмотрите все — особенно важные данные. Запустите rkhunter для поиска руткитов.

Так как система скомпрометирована не доверяйте ранее установленной копии программы, запустите ее с внешнего носителя.

Можно полностью очистить диск и переустановить систему, восстановить файлы пользователей с резервных копий и скопировать назад конфигурационные файлы. Это будет гарантировать полностью чистую систему. Полезно использовать схему установки Linux предусматривающую перестановку без потери данных приложений.

Резервируйте данные и всю систему

Резервируйте, резервируйте и еще резервируйте! Лучшим решением в плане безопасности является регулярное резервирование. Если ваша система подверглась вторжению, вы всегда сможете восстановиться с резервных копий. Конечно, некоторые данные могут быть ценны и для взломщика, и он может не только удалять их, но и воровать, делая себе копии, но в конце концов вы по крайнем мере сохраните эти данные. Прежде чем восстановить поврежденный файл, вы должны проверить несколько прошлых резервных копий, а не только последнюю. Может быть, что взломщик орудовал некоторое время назад, и вы успешно сделали несколько резервных копий уже поврежденных файлов!!! Конечно, существует также понятие безопасности резервных копий. Убедитесь, что вы храните их в надежном месте и знаете, кто имеет туда доступ. (Если взломщик получит ваши резервные копии, он будет иметь все ваши данные, а вы даже знать об этом не будете.)

Выслеживание взломщика

Хорошо, вы заблокировали взломщика, восстановили вашу систему, но это еще не все. Поскольку маловероятно, что все взломщики будут пойманы, вы должны сообщить об атаке. Вы должны сообщить об атаке администратору системы, с которой была атакована ваша система. Вы можете найти этого администратора с помощью whois или базы internic. Вы можете послать ему по электронной почте содержимое системных журналов с датой и временем событий. Если вы заметили еще что либо отличающее вашего взломщика, вы можете также сообщить об этом. После посылки сообщения по e mail, полезно связаться по телефону. Если обнаружится, что система того администратора была только проходным звеном, он может отследить и связаться с администратором системы, с которой взломщик проник к нему, и т.д. Опытные взломщики часто используют большое количество посреднических систем. Некоторые (или многие) из которых, могут даже и не знать, что они были взломаны. Отследить обратно путь взломщика аж до его домашней системы может быть очень трудно.

Будьте очень вежливы с администраторами других систем при выслеживании и они вам много в чем помогут.

Если к вам обратились по вопросу выслеживания взломщиков, то будьте солидарны, сделайте все что сможете. На их месте завтра может оказаться любой, в том числе и Вы.

Обращаться ли в полицию?

Если причинен крупный ущерб, то, собрав доказательства, можно обратиться в органы правопорядка. Если взломщик находится в Иране или Индии, то там тоже есть полиция. Попросите владельца сети, из которой пришел взломщик сообщить данные о взломе в полицию. Однако это имеет смысл после того как совместными усилиями была точно определена точка входа и прочие параметры по которым можно выйти на злоумышленника. Получить достоверные данные об этом непросто. Нужно помнить, что взломщик почти всегда атакует с чужого компьютера. Потому не следует слишком рассчитывать на внимание полиции к вашему заявлению. Но у них есть свои методы.

Ссылки:


Актуальность: 2011/06/30 09:47