আমার লিনাক্স সার্ভারটি হ্যাক হয়েছিল। কীভাবে এবং কখন এটি করা হয়েছিল তা আমি কীভাবে খুঁজে বের করব?

আমার একটি হোম সার্ভার রয়েছে যা ডেস্কটপ উবুন্টু বিতরণ চালাচ্ছে। আমি আমার ক্রোনটবে এটি পেয়েছি

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

এবং সেই ডিরেক্টরিটি অনুসন্ধান করার সময় (ব্যবহারকারীর নামের পরে স্থান / ডিরেক্টরিটির নাম) আমি অনেকগুলি স্ক্রিপ্ট পেয়েছি যা স্পষ্টতই এমন কিছু করছে যা তাদের করা উচিত নয়।

আমি কম্পিউটারটি মুছে ফেলা এবং স্টাফগুলি পুনরায় ইনস্টল করার আগে, আমি সুরক্ষা লঙ্ঘনের কারণ এবং এটি কখন হয়েছিল তা জানতে চাই। সুতরাং আমি আবার একই গর্ত খুলি না।

আমার কোন লগ ফাইলগুলি সন্ধান করা উচিত? আমি যে সার্ভারগুলি সম্পর্কে সচেতন সেগুলি কম্পিউটারে চলছে তা এসএসডি এবং লাইটটিপিডি।

এই জাতীয় জিনিস আবার ঘটে তবে আমি কী করব?

প্রথমে নিশ্চিত হয়ে নিন যে কম্পিউটারটি কোনও নেটওয়ার্ক থেকে সংযোগ বিচ্ছিন্ন হয়েছে।
দ্বিতীয়ত, নিশ্চিত হয়ে নিন যে আপনি হ্যাক করা ওএসটি আবার বুট করার আগে ড্রাইভগুলি থেকে কোনও গুরুত্বপূর্ণ ডেটা পেয়েছেন।

প্রশ্নযুক্ত ফাইলগুলিতে টাইম স্ট্যাম্পগুলি পরীক্ষা করে শুরু করুন। প্রায়শই এগুলি নির্ভুল হয়।
যদি কিছু মুছে না যায় তবে httpd লগ এবং প্রমাণীকরণ লগ সহ তাদের ক্রস রেফারেন্স করুন। যদি অপর একজন মুছে ফেলা হয় তবে আপনি বাজি ধরতে পারেন যে এটি প্রবেশের মাধ্যম ছিল। তারা যদি এখনও কৌশল অবলম্বন করে থাকে তবে লগ থেকে কীভাবে তারা প্রবেশ করেছে সে সম্পর্কে আপনি আরও তথ্য সংগ্রহ করতে সক্ষম হতে পারেন।

যদি সেগুলি সমস্ত মুছে ফেলা হয় তবে আপনি খুব খারাপ হয়ে গেছেন। এটির মূল্যের চেয়ে কী ঘটেছে তা নির্ধারণ করতে সম্ভবত আরও সময় লাগবে।

আপনি উল্লেখ করেছেন যে দুটি পরিষেবা চালু রয়েছে, অন্য কিছুর অ্যাক্সেস থেকে রোধ করার জন্য সেখানে কোনও ভাল ফায়ারওয়াল ছিল? আপনি কি 22 বন্দরে এসএসএইচকে অনুমতি দিয়েছেন; আপনার লগইন অনুমান করা যথেষ্ট যুক্তিযুক্ত; আপনি কি পাসওয়ার্ড লগইন অনুমতি দিয়েছেন; পাসওয়ার্ড লগইনগুলির জন্য আপনার কি কোনও ধরণের বাস্তব হার সীমাবদ্ধ ছিল? আপনার কি লাইটটিপিডি সহ কোনও অতিরিক্ত সফ্টওয়্যার ইনস্টল করা আছে; Perl; পিএইচপি; CGI; একটি সিএমএস বা অনুরূপ? আপনি কি সমস্ত সফ্টওয়্যারের আপডেট হওয়া সংস্করণ চালাচ্ছেন; আপনি যে সমস্ত সফটওয়্যার চালান সেগুলির সুরক্ষা বিজ্ঞপ্তিগুলি সাবস্ক্রাইব করে এবং সাবধানতার সাথে সমস্ত বিজ্ঞপ্তিগুলি যা আপনি চালিত / প্রকাশ্যে প্রকাশ করেছেন এমন সফ্টওয়্যারগুলিতে প্রয়োগ হয় কিনা তা দেখার জন্য?

এটি নিজেই এক প্রকারের বিষয়; আপনি আরও তথ্যের জন্য লিনাক্স ফরেনসিক জন্য গুগল করতে পারেন। মূলত আপনাকে প্রথমে অফলাইন বিশ্লেষণের জন্য আপনার ড্রাইভের একটি চিত্র তৈরি করতে হবে, তারপরে কম্পিউটার মুছবেন এবং ক্লিন স্লেট থেকে ইনস্টল করুন।

এবং সমস্ত ঘটনাবলী মনে রাখবেন। কম্পিউটার ব্যবহার করা যে কেউই তার পাসওয়ার্ডগুলি আপোস করতে পারে। পাসওয়ার্ডগুলি পরিবর্তন করুন, এটি অফলাইনে রাখুন ইত্যাদি আপনি "ক্লিন রুম" (বিচ্ছিন্ন ভিএম) না পাওয়া পর্যন্ত।

অন্যথায় এটি প্রচুর লগগুলি পরীক্ষা করে (যা নকল হতে পারে) এবং আপনার অ্যাপ্লিকেশনগুলি পরীক্ষা করে (পিএইচপি স্ক্রিপ্টস? ডাটাবেস? সর্বশেষ ফিক্সের জন্য আপডেট হয়েছে? অন্যান্য ব্যবহারকারী পাসওয়ার্ড দিচ্ছেন?)

আপনার প্রশ্নের উত্তর দেওয়ার আক্ষরিক কোনও সহজ উপায় নেই যেহেতু আপনাকে সার্ভারে ফরেনসিক কাজ করতে হবে এবং গর্তগুলি পরীক্ষা করতে হবে। আপনি কিছু স্বয়ংক্রিয় সরঞ্জাম ব্যবহার করতে পারেন তবে মনে রাখবেন যদি আক্রমণকারীর কাছে রুট প্রাইভেস থাকে তবে আপনি আর সিস্টেম বাইনারিগুলিতে বিশ্বাস করতে পারবেন না এবং আপনি লগগুলিতে বিশ্বাস করতে পারবেন না।

ভবিষ্যতের আক্রমণগুলির জন্য, আপনি এটি কতটা সুরক্ষিত করতে চান তার উপর নির্ভর করে, আপনি আপনার লগগুলি এমন একটি সিস্টেমে পুনর্নির্দেশের মাধ্যমে শুরু করতে পারেন যা কেবলমাত্র সিস্টেম লগ সংরক্ষণের জন্য ব্যবহৃত হয়। আক্রমণ পায়ের ছাপ হ্রাস করতে অন্য কোনও অ্যাক্সেস নেই।

আপনার ফাইলগুলির অখণ্ডতা পরীক্ষা করতে আপনি ট্রিপওয়ায়ারের মতো আপনার সিস্টেমে চেকসাম সফটওয়্যারটিও চালাতেন।

এবং অবশ্যই আপডেটের সাথে আপডেট থাকুন এবং স্ক্যানিং সফ্টওয়্যারটি চালান যা রুটকিটগুলির জন্য পরীক্ষা করে।

আবার, সুরক্ষা কোনও ছোঁড়া জিনিস নয় switch এটি নিজের মধ্যেও বিশেষত্ব হতে পারে। স্তরযুক্ত সুরক্ষা আপনার নেটওয়ার্কে অন্তর্ভুক্ত নয় এমন হোস্ট / আইপি পরীক্ষা করা, সিস্টেমে সমস্ত অ্যাক্সেস এনক্রিপ্ট করা, আপনার সিস্টেমে প্রেরিত পরিবর্তনের লগগুলি আপনাকে প্রেরণ করা এবং আপনার নেটওয়ার্কে একটি হানিপোট স্থাপনের মতো কঠোর হতে পারে অদ্ভুত ক্রিয়াকলাপটি দেখুন (কেন আমার সার্ভার হানিপোট কম্পিউটারে 25 পোর্টের সাথে সংযোগ দেওয়ার চেষ্টা করছে?)

প্রথম এবং সর্বাগ্রে যদি আপনি কার্যকলাপের জন্য পরীক্ষা করতে চান, ডিস্ক চিত্রটি পান এবং সার্ভার সফ্টওয়্যারটি পুনরায় ইনস্টল করুন। স্ক্র্যাচ থেকে। সার্ভারের বাইনারিগুলি আর বিশ্বাস করা যায় না।

সম্পাদনা করুন - আপনি এসএসএইচ চালাবার পর থেকে আমার কাছে ঘটে যাওয়া আরও কিছু জিনিস - অস্বীকৃতি ইনস্টল করুন। এটি কনফিগার করা যেতে পারে যাতে এসএসএইচডি তে আপনার সিস্টেমের বিরুদ্ধে স্বয়ংক্রিয় আক্রমণগুলি এক্স সংখ্যার চেষ্টা করার পরে লক আউট হয়ে যায়। স্বয়ংক্রিয় আক্রমণগুলি কমাতে সহায়তার জন্য লক আউট আইপি ভাগ করে নেওয়ার জন্য একটি "ক্লাউড" এ অন্যান্য অস্বীকারকারী সার্ভারগুলি থেকে আপডেট করার জন্য এটিও কনফিগার করা যেতে পারে। আপনি যে পোর্টটি শুনছেন তা আপনি সরাতেও পারেন; অনেক লোক ইঙ্গিত করে যে এটি অস্পষ্টতার মধ্য দিয়ে কেবল সুরক্ষা, তবে বট স্ক্যানিংয়ের সংখ্যাটি দেওয়া, এলোমেলোভাবে চেষ্টা করার কারণে এগুলি বেশ কমে যায়।