সার্ভার হ্যাকের পোস্ট মর্টেম কীভাবে করবেন

আইআইএস 6, এসকিউএল সার্ভার 2005, মাইএসকিউএল 5 এবং পিএইচপি 4.3 সহ আমার একটি উইন্ডোজ সার্ভার 2003 এসপি 2 মেশিন রয়েছে। এটি কোনও প্রোডাকশন মেশিন নয়, তবে এটি একটি ডোমেন নামের মাধ্যমে বিশ্বের কাছে প্রকাশিত হয়েছে। রিমোট ডেস্কটপটি মেশিনে সক্ষম করা হয়েছে এবং এতে দুটি প্রশাসনিক অ্যাকাউন্ট সক্রিয় রয়েছে।

আজ সকালে আমি দেখতে পেলাম যে লগইন পাঠ্য বাক্সে মেশিনটি একজন পরিচিত ব্যবহারকারীর নাম দিয়ে লগ অফ হয়েছিল। আরও তদন্তের পরে আমি দেখতে পেয়েছি যে দুটি উইন্ডোজ ব্যবহারকারী তৈরি করা হয়েছে, অ্যান্টি-ভাইরাস আনইনস্টল করা হয়েছে এবং। এক্স ফাইলগুলির একটি বিভ্রান্তি সি: ড্রাইভে ফেলে দেওয়া হয়েছে।

আমি যেটি জানতে চাই তা হ'ল, এটি আবার না ঘটে তা নিশ্চিত করার জন্য আমার কী পদক্ষেপ নেওয়া উচিত এবং প্রবেশের স্থানটি নির্ধারণের জন্য আমার যে ক্ষেত্রগুলিতে ফোকাস করা উচিত। কোন বন্দরগুলি খোলা আছে তা দেখার জন্য আমি ইতিমধ্যে নেটস্প্যাট পরীক্ষা করেছি এবং কিছুই সেখানে অদ্ভুত দেখাচ্ছে না। আমি মাইএসকিউএল এর জন্য ডেটা ফোল্ডারে অজানা ফাইলগুলি পেয়েছি যা আমি ভাবছিলাম যে এন্ট্রি পয়েন্ট হতে পারে তবে আমি নিশ্চিত নই।

আমি একটি সার্ভার হ্যাকের একটি ভাল পোস্ট-মর্টেম পরিচালনা করার পদক্ষেপগুলি সত্যই প্রশংসা করব যাতে ভবিষ্যতে আমি এড়াতে পারি।

তদন্ত পোস্ট পর্যালোচনা

কিছু তদন্তের পরে আমি মনে করি আমি কী ঘটেছে তা খুঁজে পেয়েছি। প্রথম মেশিন আগস্ট '08 থেকে অক্টোবর '09 সময়সীমার সময় অনলাইনে ছিল না। এই সময় ফ্রেমের সময় একটি সুরক্ষিত দুর্বলতা সনাক্ত করা হয়েছিল, MS08-067 ক্ষতিগ্রস্থতা । "এটি একটি রিমোট কোড এক্সিকিউশন দুর্বলতা An কোনও আক্রমণকারী যিনি সফলভাবে এই দুর্বলতাটি কাজে লাগিয়েছেন তা দূরবর্তীভাবে কোনও প্রভাবিত সিস্টেমের সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে Microsoft প্রমাণীকরণ ছাড়াই আরপিসির উপর এই দুর্বলতা এবং যথেচ্ছ কোড চালাতে পারে run " এই স্বচ্ছলতা কেবি 958644 সুরক্ষা আপডেটের সাথে সংশোধন করা হয়েছিল যা ২০০৮ সালের অক্টোবরে প্রকাশিত হয়েছিল।

কারণ মেশিনটি তখন অফলাইনে ছিল এবং এই আপডেটটি মিস করে, আমি বিশ্বাস করি যে '09-এর অক্টোবরে মেশিনটি অনলাইনে ফিরে আসার পরেই এই দুর্বলতাটি কাজে লাগানো হয়েছিল। আমি একটি বাইকনবয়.এক্সই প্রোগ্রামের রেফারেন্স পেয়েছি যা ব্যাকডোর প্রোগ্রাম হিসাবে বর্ণনা করা হয়েছে যা পরে সংক্রামিত সিস্টেমে অনেকটা ধ্বংসাত্মক সৃষ্টি করে। মেশিনটি অনলাইনে থাকার খুব শীঘ্রই, স্বয়ংক্রিয় আপডেটগুলি প্যাচটি ইনস্টল করে যা সিস্টেমের রিমোট কন্ট্রোল করার ক্ষমতা বন্ধ করে দেয়। ব্যাকডোরটি এখন বন্ধ ছিল বলে আমি বিশ্বাস করি যে আক্রমণকারী তখন মেশিনে শারীরিক অ্যাকাউন্ট তৈরি করে এবং কী ঘটছে তা লক্ষ্য না করা পর্যন্ত পরবর্তী এক সপ্তাহের জন্য মেশিনটি ব্যবহার করতে সক্ষম হয়েছি।

ক্ষতিকারকভাবে দূষিত কোড, .exes এবং .dlls অনুসরণ করার পরে, স্ব হোস্টিং ওয়েবসাইট এবং ব্যবহারকারীর অ্যাকাউন্টগুলি সরিয়ে, মেশিনটি আবার একটি কার্যক্ষম অবস্থায় রয়েছে। অদূর ভবিষ্যতে আমি সিস্টেমটি পর্যবেক্ষণ করব এবং ঘটনার পুনরাবৃত্তি ঘটছে কিনা তা নির্ধারণ করতে সার্ভার লগগুলি পর্যালোচনা করব।

যে তথ্য এবং পদক্ষেপ সরবরাহ করা হয়েছিল তার জন্য আপনাকে ধন্যবাদ।

ময়না তদন্ত করা নিজের মধ্যে একটি কালো শিল্প। প্রতিবার এটি কিছুটা আলাদা কারণ সত্যিকার অর্থে কোনও দুটি ব্রেক-ইন এক নয়। এটি মনে রেখে, আমার প্রস্তাবিত প্রক্রিয়াটির একটি প্রাথমিক ওভারভিউ নীচে রয়েছে, আপনার অবস্থার দিকে কয়েকটি নির্দিষ্ট নোট রয়েছে:

1. নেটওয়ার্ক থেকে মেশিনকে শারীরিকভাবে সংযোগ বিচ্ছিন্ন করুন। (সত্যিই। এখনই করুন।)
2. Alচ্ছিক পদক্ষেপ: ভবিষ্যতের ব্যবহারের জন্য হার্ড ড্রাইভের বাইনারি চিত্রের অনুলিপি তৈরি করুন।
3. অপসারণযোগ্য হার্ড ড্রাইভে সমস্ত লগ ফাইল, মূল্যবান ডেটা ইত্যাদির একটি অনুলিপি তৈরি করুন
   • আপনি যে কোনও "হ্যাকার সরঞ্জাম" খুঁজে পেয়েছেন .চ্ছিকভাবে অনুলিপি করুন
4. প্রকৃত পোস্টমর্টেম শুরু করুন। তোমার ক্ষেত্রে:
   • কোনও নতুন বা অনুপস্থিত ব্যবহারকারীর অ্যাকাউন্টগুলি নোট করুন। তাদের বাড়ির ফোল্ডারে কোনও "আকর্ষণীয়" বিষয়বস্তু রয়েছে কিনা তা দেখুন।
   • কোনও নতুন বা অনুপস্থিত প্রোগ্রাম / বাইনারি / ডেটা ফাইল নোট করুন।
   • প্রথমে মাইএসকিউএল লগগুলি পরীক্ষা করুন - "অস্বাভাবিক" যে কোনও কিছুর সন্ধান করুন
   • সার্ভারের বাকি লগগুলি পরীক্ষা করে দেখুন। আপনি নতুন ব্যবহারকারী তৈরি হচ্ছে কিনা, সেগুলি থেকে লগ ইন করা ঠিকানা ইত্যাদি খুঁজে পেতে পারেন কিনা তা দেখুন See
   • ডেটা ক্ষতি বা চুরির প্রমাণ অনুসন্ধান করুন
5. আপনি সমস্যার কারণটি খুঁজে পেলে এটি কীভাবে পুনরায় ঘটে যাওয়া থেকে রক্ষা করা যায় তা নোট করুন।
6. সার্ভারটি পরিষ্কার মুছুন: বিন্যাস করুন এবং সবকিছু পুনরায় ইনস্টল করুন, আপনার ডেটা পুনরুদ্ধার করুন এবং # 5 থেকে আপনার নোটগুলি সহ মূল গর্তটি প্লাগ করুন।

আপনি যদি আইন প্রয়োগকারীদের সাথে জড়িত হন তবে আপনি সাধারণত পদক্ষেপ 2 সম্পাদন করেন। আপনি পদক্ষেপ 3 সঞ্চালন করুন যাতে আপনি পদক্ষেপ 2 এ তৈরি চিত্রের অনুলিপিটি না পড়ে সার্ভারটি পুনর্নির্মাণের পরে তথ্য পর্যালোচনা করতে পারেন।

4 ধাপে কীভাবে বিশদ পদক্ষেপটি পাওয়া যায় তা আপনার লক্ষ্যগুলির উপর নির্ভর করে: কে কিছু মূল্যবান বিট ডেটা চুরি করেছে তা ট্র্যাক করার চেয়ে কেবল গর্তটি প্লাগ করা ভিন্ন ধরণের তদন্ত :)

Step ম ধাপটি আইএমএইচও সমালোচনামূলক। আপনি কোনও আপসকৃত হোস্টকে "ফিক্স" করবেন না: আপনি এটি মুছুন এবং একটি ভাল ভাল অবস্থা থেকে শুরু করুন। এটি নিশ্চিত করে যে আপনি টাইম বোমা হিসাবে বাক্সে ফেলে রাখা কিছু কদর্য কিছু মিস করবেন না।

এটি কোনওভাবেই একটি সম্পূর্ণ পোস্ট মর্টেমের রূপরেখা নয়। আমি এটিকে সম্প্রদায় উইকি হিসাবে চিহ্নিত করছি কারণ আমি সবসময় প্রক্রিয়াটির উন্নতি খুঁজছি - আমি প্রায়শই এটি ব্যবহার করি না :-)