আমি কীভাবে আপোষযুক্ত সার্ভারটি ব্যবহার করব?

601

এটি সার্ভার সুরক্ষা সম্পর্কে একটি সাধারণ প্রশ্ন - ভঙ্গ ইভেন্টগুলির প্রতিক্রিয়া (হ্যাকিং)
আরও দেখুন:

ক্যানোনিকাল সংস্করণ
আমি সন্দেহ করি যে আমার এক বা একাধিক সার্ভার হ্যাকার, ভাইরাস বা অন্য পদ্ধতি দ্বারা আপস করেছে:

  • আমার প্রথম পদক্ষেপ কি? আমি যখন সাইটে পৌঁছেছি তখন কি আমার সার্ভারটি সংযোগ বিচ্ছিন্ন করা উচিত, "প্রমাণগুলি" সংরক্ষণ করা উচিত, অন্যান্য প্রাথমিক বিবেচনা আছে?
  • অনলাইনে পরিষেবাগুলি ফিরে পেতে কীভাবে যাব?
  • কীভাবে একই জিনিস আবার সঙ্গে সঙ্গে ঘটতে বাধা দেব?
  • এই ঘটনা থেকে শেখার জন্য কি সর্বোত্তম অনুশীলন বা পদ্ধতি আছে?
  • যদি আমি কোনও ঘটনার প্রতিক্রিয়া পরিকল্পনা একসাথে রাখতে চাইতাম তবে আমি কোথায় শুরু করব? এটি কি আমার দুর্যোগ পুনরুদ্ধার বা ব্যবসায়ের ধারাবাহিকতা পরিকল্পনার অংশ হওয়া উচিত?

মূল সংস্করণ

২০১১.০১.০২ - আমি রবিবার রাত 9.30 টায় কাজ করতে যাচ্ছি কারণ আমাদের সার্ভারটি কোনওভাবে আপস করা হয়েছে এবং এর ফলে আমাদের সরবরাহকারীর উপর ডস আক্রমণ হয়েছিল in ইন্টারনেটে সার্ভারগুলির অ্যাক্সেস বন্ধ হয়ে গেছে যার অর্থ আমাদের ক্লায়েন্টের সাইটগুলির 5-600 এর বেশি এখন বন্ধ রয়েছে। এখন এটি কোনও এফটিপি হ্যাক হতে পারে, বা কোথাও কোডে কিছুটা দুর্বলতা থাকতে পারে। আমি সেখানে পৌঁছানো পর্যন্ত নিশ্চিত নই।

আমি কীভাবে এটি দ্রুত ট্র্যাক করব? যদি আমি সার্ভারটিকে ASAP হিসাবে ব্যাক আপ না পাই তবে আমরা পুরো মামলা মোকদ্দমার পক্ষে যাচ্ছি। কোন সাহায্য প্রশংসা করা হয়। আমরা ওপেন সুস ১১.০ চালাচ্ছি।

2011.01.03 - আপনার সহায়তার জন্য প্রত্যেককে ধন্যবাদ। ভাগ্যক্রমে আমি কেবলমাত্র এই সার্ভারটির জন্য দায়বদ্ধ, খুব নিকটতম। আমরা এই সমস্যাটি সমাধান করতে পরিচালিত হয়েছি, যদিও এটি অন্য অনেকের ক্ষেত্রে ভিন্ন পরিস্থিতিতে প্রয়োগ নাও হতে পারে। আমি কী করেছি তা বিশদ করব।

আমরা নেট থেকে সার্ভারটি প্লাগ ইন করেছি। এটি ইন্দোনেশিয়ার অন্য সার্ভারে একটি অস্বীকার অফ সার্ভিস আক্রমণ (সঞ্চালনের চেষ্টা) করছিল এবং দোষী পক্ষটিও সেখানেই ছিল।

সার্ভারে আমাদের 500 টিরও বেশি সাইট রয়েছে তা বিবেচনা করে আমরা প্রথমে সার্ভারটি কোথা থেকে আসছিল তা সনাক্ত করার চেষ্টা করেছি, আমরা কিছু সময়ের জন্য মুনলাইট হওয়ার আশা করছিলাম। তবে এসএসএইচ অ্যাক্সেস সহ এখনও আমরা আক্রমণ শুরু হওয়ার সময় সম্পাদিত বা তৈরি করা সমস্ত ফাইল সন্ধান করার জন্য একটি কমান্ড চালিয়েছি। ভাগ্যক্রমে, আপত্তিজনক ফাইলটি শীতের ছুটির দিনে তৈরি হয়েছিল যার অর্থ সার্ভারে অন্য কোনও ফাইল তৈরি হয়নি।

তারপরে আমরা জেনকার্ট ওয়েবসাইটের মধ্যে আপলোডকৃত চিত্রগুলির ফোল্ডারের ভিতরে থাকা আপত্তিকর ফাইলটি সনাক্ত করতে সক্ষম হয়েছি ।

সংক্ষিপ্ত সিগারেট বিরতির পরে আমরা এই সিদ্ধান্তে পৌঁছেছি যে ফাইলগুলির অবস্থানের কারণে এটি অবশ্যই একটি ফাইল আপলোড সুবিধার মাধ্যমে আপলোড করা হয়েছে যা অপ্রয়োজনীয়ভাবে সুরক্ষিত ছিল। কিছুটা গুগল করার পরে, আমরা দেখতে পেলাম যে একটি সুরক্ষিত দুর্বলতা ছিল যা জেনকার্ট অ্যাডমিন প্যানেলের মধ্যে একটি রেকর্ড সংস্থার জন্য ছবির জন্য ফাইলগুলি আপলোড করার অনুমতি দেয়। (যে বিভাগটি এটি সত্যই ব্যবহৃত হয় নি), এই ফর্মটি পোস্ট করে কেবল কোনও ফাইল আপলোড করেছে, এটি ফাইলটির প্রসারণ চেক করে নি, এমনকি ব্যবহারকারী লগ ইন হয়েছে কিনা তাও পরীক্ষা করে দেখেনি।

এর অর্থ হ'ল আক্রমণটির জন্য পিএইচপি ফাইল সহ যে কোনও ফাইল আপলোড করা যেতে পারে। আমরা সংক্রামিত সাইটে জেনকার্টের সাথে দুর্বলতা সুরক্ষা করেছি এবং আপত্তিজনক ফাইলগুলি সরিয়েছি।

কাজটি হয়েছিল, এবং আমি সকাল 2 টা বাজে ছিলাম

নৈতিক - সর্বদা জেনকার্ট, বা অন্য কোনও সিএমএস সিস্টেমের জন্য সুরক্ষা প্যাচ প্রয়োগ করুন। সুরক্ষার আপডেট প্রকাশিত হওয়ার সাথে সাথে পুরো বিশ্বকে দুর্বলতা সম্পর্কে সচেতন করা হয়। - সর্বদা ব্যাকআপ করুন এবং আপনার ব্যাকআপগুলি ব্যাকআপ করুন। - এমন কাউকে নিয়োগ বা ব্যবস্থা করুন যিনি এরকম সময়ে আসবেন be কাউকে সার্ভার ফল্টে প্যানিশ পোস্টে ভরসা করা থেকে বিরত রাখতে।

hacking  security 
gunwin
সূত্র
7
আমি জানি আপনি কেমন অনুভব করেন - আমরা এই সাইটের "সহায়ক" হ্যাকারদের সাথে খুব ভাগ্যবান হয়েছি, যেখানে তারা কী করেছে তা আমাদের জানান! আমি এই প্রশ্নের দুর্দান্ত উত্তরের অপেক্ষায় রয়েছি, কেবলমাত্র যদি ভবিষ্যতে আমরা "অতি-তেমন সহায়ক" অতিথি না পাই।
টেকনোলজি ডিক্সন
186
একজন পেশাদারকে সাহায্য করার জন্য কল করুন!
মার্চগ
103
আমি স্মার্ট-অ্যাসি বা সংবেদনহীন শব্দটি শুনতে চাই না (আমিও নই) এবং অবশ্যই আমি আপনার পরিস্থিতির বিবরণ সম্পর্কে অজ্ঞ, তবে যদি আপনি 500-600 সাইট সেটআপের জন্য একমাত্র ব্যক্তি, তবে সেখানে থাকতে পারে এই সার্ভারটি কীভাবে চালিত হয় তার মৌলিক ত্রুটি হোন। কিছু সংস্থাগুলি একটি ডেডিকেটেড সিসাদমিন নিয়োগ করে যারা সারাদিন অন্য কিছু করেন না তবে সার্ভার বজায় রাখে - এমন একটি কাজ যা কোনও প্রোগ্রামারের আওতায় স্বয়ংক্রিয়ভাবে আসে না যদিও এমনভাবে মনে হলেও এটি। সংকট শেষ হয়ে গেলে এটি বিবেচনা করার মতো কিছু হতে পারে। যাইহোক, এই মুহূর্তে, পরিস্থিতি হাতের কাছে পাওয়ার জন্য শুভকামনা।
পেক্কা 웃
অগত্যা ধরে নিবেন যে আপনার কাছে একটি সম্পূর্ণ প্রস্ফুটিত কার্নেল রুট কিট রয়েছে এবং এটি আপনার রুট পাসওয়ার্ডের সাথে আপস করেছে। এটি সম্ভবত কেবল একটি ছদ্মবেশী বাশ / পার্ল স্ক্রিপ্ট এবং এখানে কোয়ারের যা কিছু বেজেছে তা সত্ত্বেও বিন্যাস ছাড়াই এটি পরিষ্কার করা সম্ভব ... সার্ভারসফল্ট
হেডেন থ্রিং

উত্তর:

1015

আপনি এখানে যা পোস্ট করেছেন তার থেকে সুনির্দিষ্ট পরামর্শ দেওয়া শক্ত তবে আমার বয়সের আগে আমার লেখা একটি পোস্টের উপর ভিত্তি করে আমার কিছু জেনেরিক পরামর্শ রয়েছে যখন আমি এখনও ব্লগে বিরক্ত হতে পারছিলাম।

আতঙ্কিত হবেন না

প্রথম জিনিসগুলি, অনুপ্রবেশের আগে নেওয়া ব্যাকআপ থেকে আপনার সিস্টেমটিকে পুনরুদ্ধার করা ছাড়া আর কোনও "দ্রুত সমাধান" নেই এবং এতে কমপক্ষে দুটি সমস্যা রয়েছে।

  1. অনুপ্রবেশটি ঘটলে তা চিহ্নিত করা শক্ত।
  2. এটি আপনাকে "ছিদ্র" বন্ধ করতে সহায়তা করে না যা তাদের শেষবারে ভেঙে যেতে দেয়, বা ঘটেছিল এমন কোনও "ডেটা চুরি" এর পরিণতিগুলি মোকাবেলা করে না।

এই প্রশ্নটি বারবার হ্যাকারদের দ্বারা তাদের ওয়েব সার্ভারে প্রবেশের শিকার হয়ে জিজ্ঞাসা করে। উত্তরগুলি খুব কমই পরিবর্তিত হয়, তবে লোকেরা প্রশ্ন জিজ্ঞাসা করতে থাকে। আমি নিশ্চিত না কেন। সাহায্যের সন্ধান করার সময় লোকেরা কেবল তাদের উত্তরগুলি পছন্দ করে না, বা পরামর্শ দেওয়ার জন্য তারা বিশ্বাসযোগ্য কাউকে খুঁজে পায় না। অথবা লোকেরা এই প্রশ্নের উত্তর পড়তে পারে এবং কেন তাদের কেস বিশেষ এবং কেন তারা অনলাইনে খুঁজে পেতে পারে তার উত্তরগুলির চেয়ে 5% এর উপরে খুব বেশি মনোযোগ দেয় এবং প্রশ্নটির 95% মিস করে এবং যেখানে তাদের মামলা যথেষ্ট পর্যায়ে রয়েছে সেখানে এক হিসাবে তারা অনলাইনে পড়েন।

এটি আমাকে তথ্যের প্রথম গুরুত্বপূর্ণ নকশায় নিয়ে আসে। আমি সত্যিই প্রশংসা করি যে আপনি একটি বিশেষ অনন্য স্নোফ্লেক। আমি প্রশংসা করি যে আপনার ওয়েবসাইটটিও আপনার এবং আপনার ব্যবসায়ের প্রতিফলন হিসাবে বা কোনও নিয়োগকর্তার পক্ষে আপনার কঠোর পরিশ্রম। তবে বাইরে থাকা কারও কাছে, কম্পিউটার সুরক্ষিত ব্যক্তি যদি আপনাকে বা এমনকি আক্রমণকারীকে নিজেই চেষ্টা করার চেষ্টা করে এবং সমস্যাটি দেখছে কিনা, সম্ভবত খুব সম্ভবত আপনার সমস্যাটি তারা অন্যান্য প্রতিটি ক্ষেত্রে কমপক্ষে 95% অভিন্ন হবে is কখনও তাকানো।

আক্রমণটিকে ব্যক্তিগতভাবে গ্রহণ করবেন না এবং এখানে অনুসরণ করা পরামর্শগুলি বা ব্যক্তিগতভাবে অন্য ব্যক্তিদের কাছ থেকে প্রাপ্ত পরামর্শ গ্রহণ করবেন না। আপনি যদি কেবল কোনও ওয়েবসাইট হ্যাকের শিকার হওয়ার পরে এটি পড়েন তবে আমি সত্যিই দুঃখিত, এবং আমি সত্যিই আশা করি যে আপনি এখানে সহায়ক কিছু খুঁজে পেতে পারেন, তবে আপনার অহংটি আপনাকে যা করতে হবে তার পথে চলার সময় নয় না।

আপনি সন্ধান করেছেন যে আপনার সার্ভার (গুলি) হ্যাক হয়ে গেছে। এখন কি?

আতঙ্কিত হবেন না. অবশ্যই তাড়াহুড়োয় আচরণ করবেন না এবং একেবারে চেষ্টা করবেন না এবং কখনও ঘটেছিল এমন কিছু করার ভান করবেন না এবং আদৌ কাজ করবেন না।

প্রথম: বুঝতে হবে যে বিপর্যয় ইতিমধ্যে ঘটেছে। এটি অস্বীকার করার সময় নয়; যা ঘটেছে তা গ্রহণ করার, এটি সম্পর্কে বাস্তববাদী হওয়ার এবং প্রভাবের পরিণতিগুলি পরিচালনা করার পদক্ষেপ গ্রহণের সময়।

এই কয়েকটি পদক্ষেপ ক্ষতিগ্রস্থ হতে চলেছে, এবং (যদি না আপনার ওয়েবসাইটটি আমার বিবরণের একটি অনুলিপি ধরে রাখে) তবে আপনি যদি এই সমস্ত বা কিছু পদক্ষেপ উপেক্ষা করেন তবে আমি সত্যিই যত্নশীল নই that's তবে তাদের যথাযথভাবে অনুসরণ করা শেষ পর্যন্ত জিনিসগুলি আরও ভাল করে তুলবে। ওষুধটি ভয়াবহ স্বাদ পেতে পারে তবে কখনও কখনও আপনাকে এড়িয়ে যেতে হবে যে আপনি যদি সত্যিই নিরাময়টি কাজ করতে চান।

সমস্যাটি এর চেয়ে খারাপ হওয়ার থেকে বাধা দিন:

  1. আপনার প্রথম যেটি করা উচিত তা হ'ল ইন্টারনেট থেকে আক্রান্ত সিস্টেমগুলি সংযোগ বিচ্ছিন্ন করে। আপনার অন্য যে কোনও সমস্যা থাকুক না কেন, সিস্টেমটিকে ওয়েবে সংযুক্ত রেখে কেবল আক্রমণ চালিয়ে যাওয়ার অনুমতি দেওয়া হবে। আমি এটি বেশ আক্ষরিক অর্থে বলতে চাই; কাউকে শারীরিকভাবে সার্ভারটি দেখতে যান এবং নেটওয়ার্ক কেবলগুলি যদি তা নেয় তবে প্লাগ আনপ্লাগ করুন তবে আপনি অন্য কিছু করার চেষ্টা করার আগে ভুক্তভোগীকে তার মগের থেকে সংযোগ বিচ্ছিন্ন করুন।
  2. আপস সিস্টেম হিসাবে একই নেটওয়ার্কে থাকা সমস্ত কম্পিউটারে সমস্ত অ্যাকাউন্টের জন্য আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করুন। সত্যিই না. সমস্ত অ্যাকাউন্ট। সমস্ত কম্পিউটার। হ্যাঁ, আপনি ঠিক বলেছেন, এটি ওভারকিল হতে পারে; অন্যদিকে, এটি নাও পারে। আপনি কোনভাবেই জানেন না, তাই না?
  3. আপনার অন্যান্য সিস্টেমগুলি পরীক্ষা করুন। অন্যান্য ইন্টারনেটের মুখোমুখি পরিষেবাগুলিতে এবং আর্থিক বা অন্যান্য বাণিজ্যিকভাবে সংবেদনশীল ডেটা রাখার জন্য বিশেষ মনোযোগ দিন।
  4. যদি সিস্টেমটি কারও ব্যক্তিগত ডেটা ধারণ করে, অবিলম্বে ডেটা সুরক্ষার জন্য দায়ী ব্যক্তিকে অবহিত করুন (যদি তা আপনি না হন) এবং সম্পূর্ণ প্রকাশ ইউআরজিই করুন। আমি জানি এটা একটা শক্ত। আমি জানি এটির ক্ষতি হতে চলেছে। আমি জানি যে অনেক ব্যবসায় এই ধরণের সমস্যাটি কার্পেটের নীচে ছড়িয়ে দিতে চায় তবে ব্যবসায়টি এটির মোকাবেলা করতে চলেছে - এবং এটি যে কোনও এবং সমস্ত প্রাসঙ্গিক গোপনীয়তা আইনের উপর নজর রেখে প্রয়োজন।

তবে আপনার গ্রাহকরা বিরক্ত হয়ে থাকতে পারেন যে আপনি তাদের কোনও সমস্যা সম্পর্কে তাদের বলছেন, তারা যদি তা না বলেন তবে তারা আরও বেশি বিরক্ত হবেন এবং তারা ক্রেডিট কার্ডের বিশদ ব্যবহার করে $ 8,000 ডলারের পণ্য চার্জ করার পরে তারা কেবল নিজেরাই খুঁজে পাবেন they আপনার সাইট থেকে চুরি।

মনে আছে আগে কি বলেছিলাম? খারাপ জিনিস ইতিমধ্যে ঘটেছে। এখন একমাত্র প্রশ্ন হ'ল আপনি এটির সাথে কতটা ভাল আচরণ করেন।

সমস্যাটি পুরোপুরি বুঝতে:

  1. এই পর্যায়টি সম্পূর্ণরূপে শেষ না হওয়া পর্যন্ত আক্রান্ত সিস্টেমগুলিকে অনলাইনে ফিরিয়ে রাখবেন না, যদি না আপনি সেই ব্যক্তি হতে চান যার পোস্টটি আমার পক্ষে এই নিবন্ধটি লেখার সিদ্ধান্ত নেওয়ার সিদ্ধান্ত নিয়েছিল point আমি সেই পোস্টের সাথে লিঙ্ক করব না যাতে লোকেরা সস্তা হাসি পেতে পারে তবে আসল ট্র্যাজেডি হ'ল লোকেরা যখন তাদের ভুল থেকে শিক্ষা নিতে ব্যর্থ হয়।
  2. আক্রমণগুলি কীভাবে আপনার সুরক্ষার সাথে আপস করতে সফল হয়েছিল তা বুঝতে 'আক্রমণ করা' সিস্টেমগুলি পরীক্ষা করুন। আক্রমণগুলি "কোথা থেকে" এসেছে তা জানার জন্য সর্বাত্মক চেষ্টা করুন, যাতে আপনার সমস্যাগুলি কী কী তা বুঝতে এবং ভবিষ্যতে আপনার সিস্টেমকে সুরক্ষিত করার জন্য সমাধান করা দরকার।
  3. আক্রমণগুলি কোথায় গিয়েছিল তা বোঝার জন্য এবার 'আক্রমণাত্মক' সিস্টেমগুলি আবার পরীক্ষা করুন, যাতে আপনি বুঝতে পারেন যে আক্রমণে কোন সিস্টেমের সাথে আপস করা হয়েছিল। আপনি যে কোনও পয়েন্টার অনুসরণ করেছেন তা নিশ্চিত করুন যে আপোস করা সিস্টেমগুলি আপনার সিস্টেমে আরও আক্রমণ করার জন্য একটি স্প্রিংবোর্ডে পরিণত হতে পারে।
  4. যে কোনও এবং সমস্ত আক্রমণগুলিতে ব্যবহৃত "গেটওয়েগুলি" সম্পূর্ণরূপে বোঝা হয়েছে তা নিশ্চিত করুন, যাতে আপনি সেগুলি সঠিকভাবে বন্ধ করতে শুরু করতে পারেন। (উদাঃ যদি আপনার সিস্টেমগুলি কোনও এসকিউএল ইনজেকশন আক্রমণ দ্বারা আপস করা হয়ে থাকে, তবে কেবলমাত্র কোডগুলির নির্দিষ্ট ত্রুটিযুক্ত রেখাটি কেবল আপনার বন্ধ করার প্রয়োজন হবে না, একই ধরণের ভুল কিনা তা দেখতে আপনি আপনার সমস্ত কোডের অডিট করতে চান) অন্য কোথাও তৈরি হয়েছিল)।
  5. একাধিক ত্রুটির কারণে আক্রমণগুলি সফল হতে পারে তা বুঝতে পারেন। প্রায়শই আক্রমণগুলিতে একটি সিস্টেমে একটি বড় ত্রুটি খুঁজে পাওয়া যায় না তবে একটি সিস্টেমকে আপস করার জন্য বেশ কয়েকটি ইস্যু (কখনও কখনও অপ্রাপ্ত এবং তুচ্ছ) একত্রিত করে সফল হয়। উদাহরণস্বরূপ, ডাটাবেস সার্ভারে কমান্ড প্রেরণের জন্য এসকিউএল ইনজেকশন আক্রমণ ব্যবহার করা, আপনি যে ওয়েবসাইট / অ্যাপ্লিকেশনটি আক্রমণ করছেন সেটি আবিষ্কার করা প্রশাসনিক ব্যবহারকারীর প্রসঙ্গে চলছে এবং সেই অ্যাকাউন্টের অধিকারগুলি অন্য অংশের সাথে আপস করার জন্য পদক্ষেপ হিসাবে ব্যবহার করছে একটি সিস্টেম. বা হ্যাকাররা এটির কল করতে পছন্দ করে: "অফিসে আর একটি দিন সাধারণ ভুলগুলির সুযোগ নিয়ে লোকেরা করেন"।

আপনি যে শোষণ বা রুটকিটটি সনাক্ত করেছেন এবং সিস্টেমটিকে অনলাইনে ফিরিয়ে দিয়েছেন কেবল "মেরামত" করবেন না কেন?

এইরকম পরিস্থিতিতে সমস্যা হ'ল আপনার আর সেই সিস্টেমের নিয়ন্ত্রণ নেই। এটি আর আপনার কম্পিউটার নয়।

আপনি সিস্টেমের নিয়ন্ত্রণ পেয়েছেন তা নিশ্চিত হওয়ার একমাত্র উপায় হ'ল সিস্টেমটি পুনর্নির্মাণ করা। যদিও সিস্টেমটি ভেঙে ফেলার জন্য ব্যবহৃত শোষণগুলি সন্ধান এবং স্থির করার জন্য অনেক মূল্য রয়েছে, তবে একবার অনুপ্রবেশকারীরা নিয়ন্ত্রণ অর্জনের পরে সিস্টেমটির সাথে আর কী করা হয়েছিল সে সম্পর্কে আপনি নিশ্চিত হতে পারবেন না (প্রকৃতপক্ষে, নিয়োগপ্রাপ্ত হ্যাকারদের জন্য এটি শোনা যায় নি) অন্যান্য হ্যাকারদের "তাদের" নতুন কম্পিউটারকে সুরক্ষিত করার পাশাপাশি তাদের রুটকিট ইনস্টল করার জন্য) তারা নিজেরাই যে শোষণগুলি ব্যবহার করেছিল তা প্যাচ করার জন্য বোটনেটে সিস্টেমগুলি।

পুনরুদ্ধারের জন্য এবং আপনার ওয়েবসাইটটিকে অনলাইনে আবার ফিরিয়ে আনতে এবং এটিতে আটকে থাকার জন্য একটি পরিকল্পনা করুন:

তাদের যতটা হবে তার চেয়ে বেশি সময়ের জন্য অফলাইনে থাকতে চায় না। এটি একটি প্রদত্ত যদি এই ওয়েবসাইটটি একটি উপার্জন উত্পাদনের ব্যবস্থা হয় তবে এটিকে অনলাইনে আবার দ্রুত ফিরিয়ে আনার চাপ তীব্র হবে। এমনকি যদি আপনার / আপনার কোম্পানির খ্যাতি ঝুঁকির মধ্যে থাকে তবে এখনও বিষয়গুলিকে দ্রুত ব্যাক আপ করার জন্য এটি অনেক চাপ তৈরি করে চলেছে।

তবে খুব তাড়াতাড়ি অনলাইনে আবার ফিরে যাওয়ার প্রলোভনে পড়বেন না। সমস্যাটি কী কারণে ঘটেছিল তা বোঝার জন্য এবং অনলাইনে ফিরে যাওয়ার আগে এটি সমাধানের জন্য যত তাড়াতাড়ি সম্ভব তত দ্রুত অগ্রসর হন বা অন্যথায় আপনি প্রায় একবার অবশ্যই অনুপ্রবেশের শিকার হবেন, এবং মনে রাখবেন, "একবার হ্যাক হয়ে যাওয়া দুর্ভাগ্য হিসাবে চিহ্নিত করা যেতে পারে; এরপরে সরাসরি হ্যাক হওয়ার পরে অবহেলা মনে হচ্ছে "(অস্কার উইল্ডের কাছে ক্ষমা চেয়ে)।

  1. আমি ধরে নিচ্ছি যে আপনি এই বিভাগটি শুরু করার আগে প্রথমে সফল প্রবেশের দিকে পরিচালিত সমস্ত সমস্যাগুলি আপনি বুঝতে পেরেছেন। আমি মামলাটি বড় করে দেখাতে চাই না তবে আপনি যদি প্রথমে এটি না করে থাকেন তবে আপনার সত্যিই দরকার। দুঃখিত।
  2. ব্ল্যাকমেইল / সুরক্ষার টাকা কখনই দেবেন না। এটি একটি সহজ চিহ্নের লক্ষণ এবং আপনি চান না যে সেই শব্দগুচ্ছটি আপনাকে কখনও বর্ণনা করতে পারে।
  3. সম্পূর্ণ পুনর্নির্মাণ ব্যতীত অনলাইনে একই সার্ভার (গুলি) ফিরিয়ে দেওয়ার প্রলোভন করবেন না। কোনও নতুন বাক্স তৈরি করা বা পুরানো হার্ডওয়্যারটিতে "কক্ষপথ থেকে সার্ভারকে নক করা এবং একটি ক্লিন ইনস্টল করা" হওয়া উচিত তার চেয়ে পুরানো সিস্টেমের প্রতিটি একক কোণটি নিখরচায় যাচাই করার আগে এটি পুনরায় রাখার আগে তা পরিষ্কার কিনা তা পরীক্ষা করা উচিত should আবার অনলাইন। যদি আপনি এর সাথে একমত না হন তবে সম্ভবত আপনি জানেন না যে কোনও সিস্টেম পুরোপুরি পরিষ্কার হয়েছে তা নিশ্চিত করার অর্থ আসলে কী, বা আপনার ওয়েবসাইট স্থাপনার পদ্ধতিটি একটি অপরিষ্কার গণ্ডগোল। সম্ভবত আপনার সাইটের ব্যাকআপ এবং পরীক্ষার মোতায়েন রয়েছে যা আপনি কেবলমাত্র লাইভ সাইটটি তৈরি করতে ব্যবহার করতে পারেন এবং যদি আপনি তখন হ্যাক না হন তবে এটি আপনার বৃহত্তম সমস্যা নয়।
  4. হ্যাকের সময়ে সিস্টেমে "লাইভ" ছিল এমন ডেটা পুনরায় ব্যবহার সম্পর্কে খুব সতর্কতা অবলম্বন করুন। আমি "কখনই এটি করব না" বলব না কারণ আপনি কেবল আমাকে এড়িয়ে যাবেন, তবে সত্যই আমি মনে করি আপনার যখন ডেটা রাখার পরিণতিগুলি বিবেচনা করা দরকার তখন যখন আপনি জানেন যে আপনি এর অখণ্ডতার গ্যারান্টি দিতে পারবেন না। আদর্শভাবে, আপনার অনুপ্রবেশের পূর্বে করা ব্যাকআপ থেকে এটি পুনরুদ্ধার করা উচিত। যদি আপনি এটি করতে না পারেন বা না করেন তবে আপনার সেই ডেটাটি নিয়ে খুব যত্নশীল হওয়া উচিত কারণ এটি কলঙ্কিত। আপনার যদি অন্যদের কাছে পরিণতি সম্পর্কে বিশেষত সচেতন হওয়া উচিত তবে যদি এই ডেটা সরাসরি আপনার চেয়ে গ্রাহক বা সাইট দর্শকদের অন্তর্ভুক্ত।
  5. সিস্টেমটি (গুলি) সাবধানে পর্যবেক্ষণ করুন। ভবিষ্যতে চলমান প্রক্রিয়া হিসাবে এটি করার সমাধান করা উচিত (আরও নীচে) তবে আপনার সাইটটি অনলাইনে ফিরে আসার সাথে সাথেই পিরিয়ড চলাকালীন আপনি সচেতন হওয়ার জন্য অতিরিক্ত ব্যথা নেবেন। অনুপ্রবেশকারীরা অবশ্যই ফিরে আসবে এবং যদি আপনি তাদের আবারও ভাঙ্গার চেষ্টা করতে পারেন তবে আপনি অবশ্যই দ্রুত দেখতে সক্ষম হবেন যে তারা সত্যই তারা তাদের জন্য তৈরির আগে যে কোনও ছিদ্র ব্যবহার করেছিল এবং যদি তারা তাদের জন্য তৈরি করেছিল তবে আপনি সত্যিই তাদের বন্ধ করে দিয়েছেন এবং আপনি দরকারী সংগ্রহ করতে পারেন আপনি আপনার স্থানীয় আইন প্রয়োগের উপর তথ্য দিতে পারেন।

ভবিষ্যতে ঝুঁকি হ্রাস করা।

আপনার প্রথমে যে বিষয়টি বুঝতে হবে তা হ'ল সুরক্ষা এমন একটি প্রক্রিয়া যা আপনাকে ইন্টারনেট-মুখোমুখী সিস্টেমের নকশা করা, মোতায়েন করা ও বজায় রাখার পুরো জীবনচক্র জুড়ে প্রয়োগ করতে হবে, আপনি নিজের কোডের পরে কয়েকটি স্তরের চড় মারতে পারেন এমন কিছু নয় সস্তার মতো like রং। সঠিকভাবে সুরক্ষিত হওয়ার জন্য, প্রকল্পের অন্যতম প্রধান লক্ষ্য হিসাবে এটি বিবেচনা করে একটি পরিষেবা এবং একটি অ্যাপ্লিকেশন শুরু থেকেই ডিজাইন করা দরকার। আমি বুঝতে পারি যে এটি বিরক্তিকর এবং আপনি এটির আগেই শুনেছেন এবং ওয়েবে বিটা ওয়েব 2.0 (বিটা) পরিষেবাটি বিটা স্ট্যাটাসে পাওয়ার "চাপ চাপ মানুষকে আমি বুঝতে পারি না", তবে সত্যটি এই যে এটি অব্যাহত রাখে পুনরাবৃত্তি করা হচ্ছে কারণ এটি প্রথমবার বলা হয়েছিল সত্য এবং এটি এখনও একটি মিথ্যে পরিণত হয়নি।

আপনি ঝুঁকি দূর করতে পারবেন না। এমনকি এটি করার চেষ্টা করা উচিত নয়। তবে আপনার যা করা উচিত তা হ'ল কোন সুরক্ষা ঝুঁকিটি আপনার পক্ষে গুরুত্বপূর্ণ তা বোঝা এবং ঝুঁকির প্রভাব এবং ঝুঁকির সম্ভাবনা উভয়ই কীভাবে পরিচালনা এবং হ্রাস করা যায় তা বোঝা।

আক্রমণ সফল হওয়ার সম্ভাবনা কমাতে আপনি কী পদক্ষেপ নিতে পারেন?

উদাহরণ স্বরূপ:

  1. যে ত্রুটিটি লোকেরা আপনার সাইটে ভেন্ডর কোডের একটি পরিচিত বাগটি ভাঙতে দেয়, যার জন্য প্যাচ উপলব্ধ ছিল? যদি তা হয় তবে কীভাবে আপনি আপনার ইন্টারনেট-মুখী সার্ভারগুলিতে অ্যাপ্লিকেশনগুলি প্যাচ করেন সে সম্পর্কে আপনার দৃষ্টিভঙ্গিটি পুনরায় চিন্তা করার দরকার আছে?
  2. যে ত্রুটিটি লোকেরা আপনার সাইটে ভেন্ডর কোডে একটি অজানা ত্রুটি প্রবেশ করতে দিয়েছিল, যার জন্য কোনও প্যাচ উপলব্ধ ছিল না? আমি অবশ্যই সরবরাহকারীদের পরিবর্তন করার পক্ষে সমর্থন করি না যখনই যখন এই জাতীয় কিছু আপনাকে দংশিত করে কারণ তাদের সকলেরই সমস্যা আছে এবং আপনি যদি এই পদ্ধতিটি গ্রহণ করেন তবে সর্বাধিক এক বছরে আপনি প্ল্যাটফর্মের বাইরে চলে যাবেন। তবে, যদি কোনও সিস্টেম ক্রমাগত আপনাকে নীচে নামাতে দেয় তবে আপনার হয় আরও শক্তিশালী কিছুতে স্থানান্তরিত হওয়া বা খুব কমপক্ষে আপনার সিস্টেমটিকে নতুন করে আর্কিটেক্ট করা উচিত যাতে দুর্বল উপাদানগুলি তুলো উলে আবৃত থাকে এবং প্রতিকূল চোখ থেকে যতদূর সম্ভব।
  3. কোডের ত্রুটিটি কি আপনার দ্বারা তৈরি করা হয়েছে (বা কোনও ঠিকাদার আপনার জন্য কাজ করছে)? যদি তা হয় তবে আপনার লাইভ সাইটে স্থাপনার কোড আপনি কীভাবে অনুমোদন করেছেন সে সম্পর্কে আপনার নিজের পদ্ধতির পুনরায় চিন্তাভাবনা করা দরকার? বাগটি কি কোনও উন্নত পরীক্ষার সিস্টেমের সাথে বা আপনার কোডিংয়ের "স্ট্যান্ডার্ড" এর পরিবর্তনের সাথে ধরা পড়েছে (উদাহরণস্বরূপ, প্রযুক্তি যখন প্যানিশিয়া নয়, আপনি ভাল ডকুমেন্টেড কোডিং কৌশল ব্যবহার করে একটি সফল এসকিউএল ইঞ্জেকশন আক্রমণের সম্ভাবনা হ্রাস করতে পারবেন) )।
  4. সার্ভার বা অ্যাপ্লিকেশন সফ্টওয়্যার কীভাবে স্থাপন করা হয়েছিল তাতে সমস্যা হওয়ার কারণে ত্রুটি ছিল? যদি তা হয় তবে আপনি যেখানে সার্ভারগুলি তৈরি করতে এবং স্থাপন করতে সেখানে স্বয়ংক্রিয় পদ্ধতি ব্যবহার করছেন? এগুলি আপনার সমস্ত সার্ভারে একটি সামঞ্জস্যপূর্ণ "বেসলাইন" অবস্থা বজায় রাখতে একটি দুর্দান্ত সহায়তা, প্রতিটিতে যে পরিমাণে কাস্টম কাজ করা উচিত তা হ্রাস করে এবং তাই আশা করি কোনও ভুল হওয়ার সুযোগটি হ্রাস করুন। কোড স্থাপনার ক্ষেত্রেও একই রকম - যদি আপনার ওয়েব অ্যাপ্লিকেশনটির সর্বশেষতম সংস্করণ স্থাপন করতে আপনার কিছু "বিশেষ" প্রয়োজন হয় তবে এটি স্বয়ংক্রিয় করার জন্য কঠোর চেষ্টা করুন এবং এটি সর্বদা ধারাবাহিকভাবে সম্পন্ন হয়েছে তা নিশ্চিত করুন।
  5. আপনার সিস্টেমগুলির আরও ভাল পর্যবেক্ষণের মাধ্যমে অনুপ্রবেশটি কী আগে ধরা পড়েছিল? অবশ্যই, আপনার কর্মীদের জন্য 24 ঘন্টা মনিটরিং বা "কল" সিস্টেম কার্যকরভাবে কার্যকর নাও হতে পারে, তবে সেখানে এমন সংস্থাগুলি রয়েছে যারা আপনার জন্য ওয়েব মুখোমুখি পরিষেবাগুলি নিরীক্ষণ করতে পারে এবং কোনও সমস্যা হলে আপনাকে সতর্ক করতে পারে। আপনি সিদ্ধান্ত নিতে পারেন যে আপনি এটি বহন করতে পারবেন না বা এটির প্রয়োজন হবে না এবং এটি ঠিক আছে ... কেবল এটি বিবেচনায় রাখুন।
  6. ট্রিপওয়ায়ার এবং নেসাসের মতো সরঞ্জামগুলি যেখানে উপযুক্ত সেখানে ব্যবহার করুন - তবে কেবল সেগুলি অন্ধভাবে ব্যবহার করবেন না কারণ আমি বলেছি। আপনার পরিবেশের জন্য উপযুক্ত কয়েকটি ভাল সুরক্ষা সরঞ্জাম কীভাবে ব্যবহার করবেন তা শিখতে সময় নিন, এই সরঞ্জামগুলি আপডেট রাখুন এবং নিয়মিতভাবে সেগুলি ব্যবহার করুন।
  7. আপনার ওয়েবসাইটের সুরক্ষা নিয়মিতভাবে 'নিরীক্ষণ' করতে নিরাপত্তা বিশেষজ্ঞদের নিয়োগের বিষয়টি বিবেচনা করুন। আবার, আপনি সিদ্ধান্ত নিতে পারেন যে আপনি এই ব্যয় করতে পারবেন না বা এটির প্রয়োজন হবে না এবং এটি ঠিক আছে ... কেবল এটি বিবেচনায় নেওয়া উচিত।

সফল আক্রমণটির পরিণতি কমাতে আপনি কী পদক্ষেপ নিতে পারেন?

যদি আপনি স্থির করেন যে আপনার বাড়ির বন্যার নীচের তলটির "ঝুঁকি" উচ্চতর, তবে সরানোর পরোয়ানা দেওয়ার পক্ষে যথেষ্ট নয়, আপনার অন্তত অপরিবর্তনীয় পারিবারিক উত্তরাধিকারগুলি উপরের দিকে সরানো উচিত। রাইট?

  1. আপনি সরাসরি ইন্টারনেটে প্রকাশিত পরিষেবার পরিমাণ হ্রাস করতে পারেন? আপনি কি আপনার অভ্যন্তরীণ পরিষেবা এবং আপনার ইন্টারনেট-মুখোমুখি পরিষেবাগুলির মধ্যে কোনও একরকম ব্যবধান বজায় রাখতে পারবেন? এটি নিশ্চিত করে যে আপনার বাহ্যিক সিস্টেমগুলি আপনার অভ্যন্তরীণ সিস্টেমগুলিকে আক্রমণ করার জন্য এটি একটি স্প্রিংবোর্ড হিসাবে ব্যবহারের সম্ভাবনাগুলি সীমিত করে তোলা হয়েছে।
  2. আপনি যে তথ্য সংরক্ষণ করার প্রয়োজন নেই তা সংরক্ষণ করছেন? আপনি যখন এই জাতীয় তথ্য "অনলাইনে" সংরক্ষণ করছেন তখন এটি অন্য কোথাও সংরক্ষণাগারভুক্ত করা যেতে পারে? এই অংশে দুটি পয়েন্ট রয়েছে; স্পষ্টত একটিটি হ'ল লোকেরা আপনার কাছ থেকে থাকা তথ্য চুরি করতে পারে না এবং দ্বিতীয় বিষয়টি হ'ল আপনি যত কম সঞ্চয় করবেন ততই আপনার রক্ষণাবেক্ষণ এবং কোডের প্রয়োজন হবে এবং তাই বাগগুলি পিছলে যাওয়ার সম্ভাবনা কম রয়েছে are আপনার কোড বা সিস্টেম ডিজাইন।
  3. আপনি কি আপনার ওয়েব অ্যাপ্লিকেশনটির জন্য "ন্যূনতম অ্যাক্সেস" নীতিগুলি ব্যবহার করছেন? যদি ব্যবহারকারীদের কেবল একটি ডাটাবেস থেকে পড়ার প্রয়োজন হয়, তবে নিশ্চিত হয়ে নিন যে ওয়েব অ্যাপটি এটি ব্যবহারের জন্য যে অ্যাকাউন্টটি ব্যবহার করে সেটিতে কেবল পঠনের অ্যাক্সেস রয়েছে, এটিকে লেখার অ্যাক্সেসের অনুমতি দেবেন না এবং অবশ্যই সিস্টেম-স্তরের অ্যাক্সেস নয়।
  4. যদি আপনি কোনও কিছুতে খুব অভিজ্ঞ না হন এবং এটি আপনার ব্যবসায়ের কেন্দ্রিয় না হয়, তবে এটি আউটসোর্সিংয়ের বিষয়টি বিবেচনা করুন। অন্য কথায়, আপনি যদি একটি ছোট ওয়েবসাইট চালনা করে ডেস্কটপ অ্যাপ্লিকেশন কোড লেখার কথা বলছেন এবং সাইট থেকে ছোট ডেস্কটপ অ্যাপ্লিকেশন বিক্রয় শুরু করার সিদ্ধান্ত নেন তবে পেপালের মতো কারও কাছে আপনার ক্রেডিট কার্ড অর্ডার সিস্টেমটিকে "আউটসোর্সিং" বিবেচনা করুন।
  5. যদি সম্ভব হয় তবে আপত্তিজনক পুনরুদ্ধার পরিকল্পনার অংশ হিসাবে আপোস করা সিস্টেমগুলি থেকে পুনরুদ্ধারের অনুশীলন করুন। এটি যুক্তিযুক্ত মাত্র একটি "দুর্যোগের পরিস্থিতি" যা আপনি মুখোমুখি হতে পেরেছিলেন, কেবল নিজের সমস্যা এবং সমস্যাগুলি যা সাধারণত 'সার্ভার রুমে আগুন ধরেছিল' / 'থেকে পৃথক পৃথক পৃথক সমস্যাগুলির সাথে একটি যার মধ্যে বিশাল আকারের সার্ভার আক্রান্ত হয়েছিল ফর্বিসের ধরণের জিনিস eating

... এবং পরিশেষে

আমি সম্ভবত এমন স্টাফের কোনও শেষ নেই যা অন্যরা গুরুত্বপূর্ণ বিবেচনা করে থাকে তবে উপরের পদক্ষেপগুলিতে কমপক্ষে আপনাকে হ্যাকারদের শিকার হওয়ার মতো দুর্ভাগ্যজনক হলে জিনিসগুলি বাছাই করা শুরু করা উচিত।

সর্বোপরি: আতঙ্কিত হবেন না। কিছু করার আগে ভাবো. আপনি একবার সিদ্ধান্ত নেওয়ার পরে দৃly়তার সাথে কাজ করুন এবং আমার পদক্ষেপের তালিকায় আপনার কাছে কিছু যুক্ত করার পরে নীচে একটি মন্তব্য করুন।

রব মোয়ার
সূত্র
8
লোকদের দিকনির্দেশনা দেওয়ার জন্য একটি দুর্দান্ত পোস্টের জন্য +1 করুন। আমি জানি যে অপেশাদার সার্ভার অ্যাডমিনদের প্রথম যখন তাদের সাথে 'হ্যাক' ঘটে তখন এই প্যানিক মোডে প্রবেশ করা কতটা সাধারণ বিষয়। এই স্পটে থাকতে এটি একটি বিশাল ভুল, তবে এটি ঘটে। আশা এই যে একই ব্যক্তির সাথে ঘটবে না, দুবার twice
অ্যান্ড্রু বারবার
33
+1 "... তবে আপনার করণীয়কে আপনার অহংকে এমন পথে চালিত করার সময় নয়" " সিস অ্যাডমিনদের মাঝে মাঝে এটি বোঝা গুরুত্বপূর্ণ। আপনি যত জ্ঞানী হন না কেন, সর্বদা এমন (কখনও কখনও দূষিত) থাকেন যারা আপনার চেয়ে জ্ঞানী বা চতুর।
গ্রাহামাক্স
11
দুর্দান্ত উত্তর। আমি নিশ্চিত না যে কেন সবাই "কল আইন প্রয়োগকারী" পদক্ষেপটি thoughচ্ছিক হিসাবে বিবেচনা করছে। আপনি যদি অন্য ব্যক্তির ডেটা (এবং মামলা মোকদ্দমা সম্পর্কে উদ্বিগ্ন) জন্য দায়বদ্ধ হন তবে আপনার কাজগুলির তালিকার প্রথম জিনিসগুলির মধ্যে এটি হওয়া উচিত।
wd
8
খুব ভাল লিখুন, কেবল একটি গ্যাচা - "সম্ভাব্যরূপে একবারে আক্রান্তকে সম্পূর্ণ এবং স্পষ্ট প্রকাশ করুন" " মাননীয়, তবে সবসময় সঠিক নয়। সমঝোতার জবাব দেওয়ার জন্য আপনাকে কিছু প্রশাসনিক কোণ কাটাতে হতে পারে, এবং আপনার সংস্থা সাধারণত আপনাকে কিছুটা স্লথ কেটে দেবে, তবে ... প্রকাশ বা না, বিশেষত যখন ডেটা সুরক্ষা সম্পর্কিত বিষয়গুলি আপনার বেতন গ্রেডের উপরে হতে পারে এবং আইনী জড়িত থাকতে পারে। এটি পরামর্শ দেওয়া ভাল হতে পারে যে আপনি অবিলম্বে ডেটা সুরক্ষার জন্য দায়ী ব্যক্তিকে অবহিত করুন (যদি তা তিনি না হন) এবং সম্পূর্ণ প্রকাশের জন্য ইউআরজিই করুন।
থিওজোনস
5
@ গাইলসরোবার্টস ভার্চুয়াল মেশিনের হোস্টগুলিতে সাধারণত একটি কন্ট্রোল প্যানেল থাকে যা আপনাকে তাদের অতিথিদের সেটিংস হস্তক্ষেপ করতে এবং এমনকি অতিথিতে লগ ইন করতে আরডিপি বা এসএসএইচ ব্যবহার না করে রিমোট কন্ট্রোল করতে দেয়। আপনার এটির জন্য হোস্টের নিয়ন্ত্রণগুলি ব্যবহার করে অতিথিকে আলাদা করতে সক্ষম হওয়া উচিত তবে তার অবসরটিতে অতিথিকে তদন্ত করতে তার দূরবর্তী দেখার সরঞ্জামগুলি ব্যবহার করুন।
রব মোয়ার
204

মনে হচ্ছে আপনার মাথার উপরে কিছুটা ;ুকে পড়েছে; ঠিক আছে. আপনার বসকে কল করুন এবং জরুরী সুরক্ষা প্রতিক্রিয়া বাজেটের জন্য আলোচনা শুরু করুন। $ 10,000 শুরু করার জন্য ভাল জায়গা হতে পারে। তারপরে আপনাকে সুরক্ষার ঘটনার প্রতিক্রিয়াতে বিশেষজ্ঞী সংস্থাগুলি কল করা শুরু করার জন্য আপনার কাউকে (একজন পিএফওয়াই, সহকর্মী, পরিচালক) পেতে হবে। অনেকগুলি 24 ঘন্টার মধ্যে প্রতিক্রিয়া জানাতে পারে এবং আপনার শহরে যদি তাদের অফিস থাকে তবে কখনও কখনও আরও দ্রুত।

গ্রাহকদের ট্রাইজে করার জন্য আপনারও কারও প্রয়োজন; সন্দেহ নেই, ইতিমধ্যে কেউ আছেন। কী চলছে, পরিস্থিতি সামাল দেওয়ার জন্য কী করা হচ্ছে এবং তাদের প্রশ্নের উত্তর দেওয়ার জন্য কারও সাথে তাদের ফোনে থাকা প্রয়োজন।

তারপরে, আপনার প্রয়োজন ...

  1. শান্ত থাক. আপনি যদি ঘটনার প্রতিক্রিয়াটির দায়িত্বে থাকেন তবে এখন আপনার যা করা উচিত তার সর্বোচ্চ পেশাদারিত্ব এবং নেতৃত্ব প্রদর্শন করা দরকার। আপনি যা কিছু করেন তা নথিভুক্ত করুন এবং আপনার ব্যবস্থাপক এবং নির্বাহী দলকে আপনি নেওয়া বড় পদক্ষেপগুলি থেকে অবহিত রাখুন; এর মধ্যে একটি প্রতিক্রিয়া দলের সাথে কাজ করা, সার্ভারগুলি অক্ষম করা, ডেটা ব্যাকআপ করা এবং আবার জিনিস অনলাইনে আনা অন্তর্ভুক্ত। তাদের নিখুঁত বিশদ প্রয়োজন হয় না, তবে তারা প্রতি 30 মিনিট বা তার পরে আপনার কাছ থেকে শুনতে হবে।

  2. বাস্তববাদী হও. আপনি কোনও সুরক্ষা পেশাদার নন, এবং এমন কিছু জিনিস রয়েছে যা আপনি জানেন না। ঠিক আছে. সার্ভারগুলিতে লগ ইন করার সময় এবং ডেটার দিকে তাকানোর সময় আপনাকে আপনার সীমাগুলি বুঝতে হবে। আলতো করে চলা। আপনার তদন্ত চলাকালীন, নিশ্চিত হয়ে নিন যে আপনি অত্যাবশ্যকীয় তথ্যের উপর নির্ভর করছেন না বা এমন কিছু পরিবর্তন করেন যা পরে প্রয়োজন হতে পারে। যদি আপনি অস্বস্তি বোধ করেন বা আপনি অনুমান করছেন, তবে এটি বন্ধ করার এবং অভিজ্ঞ পেশাদারের দায়িত্ব নেওয়ার পক্ষে ভাল জায়গা।

  3. একটি পরিষ্কার ইউএসবি স্টিক পান এবং অতিরিক্ত হার্ড ড্রাইভ ছাড়ুন। আপনি এখানে প্রমাণ সংগ্রহ করবেন। আপনার প্রাসঙ্গিক হতে পারে এমন সমস্ত কিছুের ব্যাকআপ তৈরি করুন; আপনার আইএসপি, নেটওয়ার্ক ডাম্প ইত্যাদির সাথে যোগাযোগ করুন এমনকি আইন প্রয়োগকারীরা জড়িত না হলেও মামলা মোকদ্দমার ক্ষেত্রে আপনি এই প্রমাণটি প্রমাণ করতে চাইবেন যে আপনার সংস্থা সুরক্ষা ঘটনাটি পেশাদার এবং উপযুক্ত পদ্ধতিতে পরিচালনা করেছে।

  4. সবচেয়ে গুরুত্বপূর্ণ হ'ল ক্ষতি বন্ধ করা stop আপোসযুক্ত পরিষেবাদি, ডেটা এবং মেশিনগুলিতে অ্যাক্সেস চিহ্নিত করুন এবং ছাড়িয়ে দিন। সাধারণত, আপনার তাদের নেটওয়ার্কের কেবলটি টানতে হবে; যদি আপনি না পারেন তবে শক্তিটি টানুন।

  5. এরপরে, আপনাকে আক্রমণকারীকে সরাতে হবে এবং গর্ত (গুলি) বন্ধ করতে হবে। সম্ভবত, আক্রমণকারীটির আর ইন্টারেক্টিভ অ্যাক্সেস নেই কারণ আপনি নেটওয়ার্কটি টানেন। আপনাকে এখন সনাক্ত করতে হবে, ডকুমেন্টটি করতে হবে (ব্যাকআপ, স্ক্রিনশট এবং আপনার নিজস্ব পর্যবেক্ষণ নোটগুলি সহ; বা এমনকি প্রভাবিত সার্ভারগুলি থেকে ড্রাইভগুলি সরিয়ে এবং একটি সম্পূর্ণ ডিস্ক চিত্রের অনুলিপি তৈরি করে), এবং তারপরে যেকোন কোড এবং প্রক্রিয়াগুলি সেগুলি সরিয়ে ফেলবে । আপনার পরবর্তী ব্যাকআপ না থাকলে এই পরবর্তী অংশটি স্তন্যপান করবে; আপনি আক্রমণকারীকে হাতছাড়া করে সিস্টেম থেকে আনার চেষ্টা করতে পারেন, তবে আপনি কখনই নিশ্চিত হতে পারবেন না যে তিনি যে পেছনে ফেলে রেখেছিলেন তা সবই আপনি পেয়েছেন। রুটকিটগুলি দুষ্কৃতকারী এবং সমস্ত সনাক্তযোগ্য নয়। সেরা প্রতিক্রিয়া হ'ল তিনি যে দুর্বলতাটি ব্যবহার করতেন তা চিহ্নিত করা, প্রভাবিত ডিস্কগুলির চিত্র অনুলিপি তৈরি করা এবং তারপরে প্রভাবিত সিস্টেমগুলি মুছা এবং একটি ভাল ভাল ব্যাকআপ থেকে পুনরায় লোড করা। ডন' আপনার ব্যাকআপটি অন্ধভাবে বিশ্বাস করবেন না; এটি যাচাই করুন! নতুন হোস্টটি আবার নেটওয়ার্কে যাওয়ার আগে দুর্বলতা মেরামত বা বন্ধ করুন এবং তারপরে অনলাইনে আনুন।

  6. আপনার সমস্ত ডেটা একটি প্রতিবেদনে সংগঠিত করুন। এই মুহুর্তে দুর্বলতা বন্ধ হয়ে যায় এবং আপনার শ্বাস নিতে কিছুটা সময় থাকে। এই পদক্ষেপ এড়াতে প্রলোভন করবেন না; এটি প্রক্রিয়াটির বাকী অংশগুলির চেয়ে আরও গুরুত্বপূর্ণ। প্রতিবেদনে আপনাকে কী ভুল হয়েছে, আপনার দল কীভাবে প্রতিক্রিয়া জানিয়েছিল এবং এই ঘটনাটি যাতে আবার ঘটেছিল তা রোধ করতে আপনি কী পদক্ষেপ নিচ্ছেন তা সনাক্ত করতে হবে। আপনি যতটা সম্ভব বিশদ হন; এটি কেবল আপনার জন্য নয়, আপনার পরিচালনা এবং সম্ভাব্য মামলা হিসাবে প্রতিরক্ষা হিসাবে।

এটি কী করা উচিত তার একটি আকাশ-উচ্চ পর্যালোচনা; বেশিরভাগ কাজ হ'ল ডকুমেন্টেশন এবং ব্যাকআপ হ্যান্ডলিং। আতঙ্কিত হবেন না, আপনি সেই জিনিসটি করতে পারেন। আমি দৃঢ়ভাবে আপনি পেশাদার নিরাপত্তা সহায়তা পেতে সুপারিশ। যা চলছে তা আপনি পরিচালনা করতে পারলেও তাদের সহায়তা অমূল্য হবে এবং প্রক্রিয়াটি সহজ ও দ্রুততর করার জন্য তারা সাধারণত সরঞ্জাম নিয়ে আসে। যদি আপনার বস ব্যয়ে ব্যাক হয় তবে তাকে মনে করিয়ে দিন যে মামলা মোকদ্দমা সামলানোর তুলনায় এটি খুব ছোট।

আপনার নিজের অবস্থার জন্য আমার সান্ত্বনা রয়েছে। শুভকামনা।

blueben
সূত্র
19
+1 দুর্দান্ত উত্তর। দেখে মনে হচ্ছে যে ওপিতে প্রাক-সংজ্ঞায়িত "জরুরী প্রতিক্রিয়া" নেই এবং অন্যান্য ভাল জিনিসের মধ্যে আপনার পোস্টটি সেট আপ করার দিকে তাদের নির্দেশ করা উচিত।
রব মোয়ার
109

সিইআরটি-র একটি ইউএনআইএক্স বা এনটি সিস্টেম সমঝোতা থেকে পুনরুদ্ধারের জন্য একটি নথি রয়েছে যা ভাল। এই দস্তাবেজের সুনির্দিষ্ট প্রযুক্তিগত বিবরণ কিছুটা পুরানো, কিন্তু সাধারণ পরামর্শের অনেকগুলি এখনও সরাসরি প্রযোজ্য।

প্রাথমিক পদক্ষেপগুলির একটি দ্রুত সংক্ষিপ্তসার এটি।

  • আপনার সুরক্ষা নীতি বা পরিচালনার পরামর্শ নিন।
  • নিয়ন্ত্রণ পান (কম্পিউটারটি অফলাইনে নিন)
  • অনুপ্রবেশ বিশ্লেষণ করুন, লগগুলি পান, কী ভুল হয়েছে তা চিত্রিত করুন
  • জিনিসপত্র মেরামত
    • আপনার অপারেটিং সিস্টেমের একটি পরিষ্কার সংস্করণ ইনস্টল করুন !!! যদি সিস্টেমটি আপস করা হয়ে থাকে তবে আপনি এটিকে বিশ্বাস করতে পারবেন না, পিরিয়ড।
  • সিস্টেমগুলি আপডেট করুন যাতে এটি আর ঘটতে পারে না
  • পুনরায় কার্যক্রম শুরু করুন
  • ভবিষ্যত এবং নথির জন্য আপনার নীতি আপডেট করুন

আমি আপনাকে বিশেষ করে E.1 বিভাগে উল্লেখ করতে চাই।

E.1। মনে রাখবেন যে কোনও মেশিন আপস করা থাকলে, কার্নেল, বাইনারি, ডেটা ফাইল, চলমান প্রক্রিয়া এবং মেমরি সহ সেই সিস্টেমে যে কোনও কিছু সংশোধন করা যেতে পারে। সাধারণভাবে, কোনও যন্ত্রের পিছনে দরজা এবং অনুপ্রবেশকারী পরিবর্তনগুলি থেকে মুক্ত থাকার বিশ্বাসের একমাত্র উপায় হ'ল অপারেটিং পুনরায় ইনস্টল করা is

আপনার যদি ট্রিপওয়্যারের মতো জায়গায় ইতিমধ্যে কোনও ব্যবস্থা না থাকে তবে আপনার সিস্টেমটি পরিষ্কার করে দেওয়ার 100% নিশ্চিত হওয়ার কোনও সম্ভাব্য উপায় নেই।

Zoredache
সূত্র
26
তারপরেও ট্রিপওয়্যারের কার্নেল মডিউল এবং এর সাথে বোকা বানানো যেতে পারে। পুনরায় ইনস্টল করুন।
পুনরায়
সঙ্কটে কীভাবে প্রতিক্রিয়া জানানো যায় সে সম্পর্কিত সম্পর্কিত প্রশ্নটিও এখানে কার্যকর হতে পারে।
জোড়দাছে
67
  1. সমস্যাটি চিহ্নিত করুন। লগগুলি পড়ুন।
  2. ধারণ । আপনি সার্ভারটি সংযোগ বিচ্ছিন্ন করেছেন, তাই এটি সম্পন্ন হয়েছে।
  3. নির্মূল করা । প্রভাবিত সিস্টেমটি পুনরায় ইনস্টল করুন, সম্ভবত। হ্যাক হওয়া হার্ড ড্রাইভটি মুছবেন না, নতুন ব্যবহার করুন। এটি নিরাপদ, এবং আপনার অসুস্থ হ্যাকগুলির ব্যাকআপ করা হয়নি তার পুনরুদ্ধার করার জন্য পুরানো একটিটির প্রয়োজন হতে পারে এবং কী ঘটেছে তা অনুসন্ধান করার জন্য ফরেনসিক করতে হবে।
  4. পুনরুদ্ধার । আপনার ক্লায়েন্টকে অনলাইনে আনতে প্রয়োজনীয় যা কিছু ইনস্টল করুন এবং ব্যাকআপগুলি পুনরুদ্ধার করুন।
  5. ফলো-আপ । সমস্যাটি কী ছিল তা নির্ধারণ করুন এবং এটি আবার হতে আটকাবেন।
জ্যাকব বোর্গ
সূত্র
52

রবার্টের "তিক্ত বড়ি" উত্তর স্পট-অন কিন্তু সম্পূর্ণ জেনেরিক (ভাল, আপনার প্রশ্নটি যেমন ছিল)। এটির মতো শোনায় আপনার যদি কোনও ম্যানেজমেন্ট সমস্যা থাকে এবং আপনার যদি একটি সার্ভার এবং clients০০ ক্লায়েন্ট থাকে তবে এটি আপনাকে এখনই সহায়তা করে না এমন একটি পূর্ণ-সময়ের সিসাদমিনের গুরুতর প্রয়োজন।

আমি একটি হোস্টিং সংস্থা পরিচালনা করি যা এই পরিস্থিতিতে কিছুটা হ্যান্ড হোল্ডিং সরবরাহ করে, তাই আমি প্রচুর আপোষকৃত মেশিনগুলির সাথে ডিল করি, তবে আমাদের নিজের পক্ষে সর্বোত্তম অনুশীলনেও ডিল করি। আমরা সবসময়ে আমাদের আপোষিত ক্লায়েন্টদের পুনর্নির্মাণের জন্য বলি যদি না তারা কোনও আপোষের প্রকৃতির বিষয়ে নিশ্চিত না হন। দীর্ঘ মেয়াদে অন্য কোনও দায়িত্বশীল পথ নেই।

তবে, আপনি সম্ভবত অবশ্যই কোনও স্ক্রিপ্ট কিডির শিকার হয়েছেন যিনি ডস আক্রমণগুলির জন্য লঞ্চ প্যাড, বা আইআরসি বাউন্সার, বা আপনার গ্রাহকদের সাইট এবং ডেটার সাথে সম্পূর্ণ সম্পর্কিত নয় এমন কিছু চেয়েছিলেন wanted সুতরাং আপনি পুনর্নির্মাণের সময় অস্থায়ী ব্যবস্থা হিসাবে, আপনি আপনার বাক্সে একটি ভারী আউটবাউন্ড ফায়ারওয়াল আনার বিষয়টি বিবেচনা করতে পারেন। যদি আপনি সমস্ত আউটবাউন্ড ইউডিপি এবং টিসিপি সংযোগগুলি অবরুদ্ধ করতে পারেন যা আপনার সাইটের কার্যকারিতার জন্য একেবারেই প্রয়োজনীয় নয়, আপনি সহজেই আপনার আপোষযুক্ত বাক্সটিকে আপনার কাছ থেকে bণ নেওয়ার পক্ষে অকেজো করতে পারবেন এবং আপনার সরবরাহকারীর নেটওয়ার্কের উপর প্রভাবটি শূন্যে পরিণত করতে পারবেন।

এই প্রক্রিয়াটি কয়েক ঘন্টা সময় নিতে পারে যদি আপনি এটি আগে না করে থাকেন এবং কখনও ফায়ারওয়াল বিবেচনা করেন না, তবে আক্রমণকারীটিকে আপনার ক্লায়েন্টের ডেটাতে অ্যাক্সেস দেওয়া চালিয়ে যাওয়ার ঝুঁকিতে আপনাকে আপনার ক্লায়েন্ট পরিষেবা পুনরুদ্ধারে সহায়তা করতে পারে । যেহেতু আপনি বলছেন যে একটি মেশিনে আপনার শত শত ক্লায়েন্ট রয়েছে, আমি অনুমান করছি যে আপনি ছোট ব্যবসায়ের জন্য ছোট ব্রোশিওর ওয়েবসাইটগুলি হোস্ট করছেন, এবং ক্রেডিট কার্ড সংখ্যায় পূর্ণ 600 ইকমার্স সিস্টেম নয়। যদি এটি হয় তবে এটি আপনার পক্ষে গ্রহণযোগ্য ঝুঁকি হতে পারে এবং আপনি কিছু ফিরিয়ে আনার আগে সুরক্ষা বাগের জন্য 600০০ সাইট অডিট করার চেয়ে দ্রুত আপনার সিস্টেমটিকে অনলাইনে দ্রুত ফিরিয়ে আনুন। তবে কী কী ডেটা রয়েছে তা আপনি জানবেন এবং আপনি যে সিদ্ধান্তটি নিতে চলেছেন তা কতটা স্বাচ্ছন্দ্যময়।

এটি একেবারে সেরা অনুশীলন নয়, তবে যদি এখন পর্যন্ত আপনার নিয়োগকর্তার সাথে এটি ঘটছে না, তাদের দিকে আঙুল তুলুন এবং একটি সোয়াট দলের কাছে কয়েক হাজার পাউন্ড চেয়েছিলেন যাতে তারা মনে করতে পারে যে এটি আপনার দোষ (যদিও তা বিচার্য নয়)! ) ব্যবহারিক বিকল্প মত শোনাচ্ছে না।

আপনার আইএসপি-র সহায়তা এখানে অত্যন্ত জটিল হতে চলেছে - কিছু আইএসপি একটি কনসোল সার্ভার এবং নেটওয়ার্ক বুট পরিবেশ সরবরাহ করে (প্লাগ, তবে কমপক্ষে আপনি কী ধরনের সন্ধান করতে হবে তা জানেন) যা আপনাকে নেটওয়ার্ক থেকে সংযোগ বিচ্ছিন্ন হওয়ার পরে সার্ভারটি পরিচালনা করতে দেবে। এটি যদি কোনও বিকল্প হয় তবে এটির জন্য জিজ্ঞাসা করুন এবং এটি ব্যবহার করুন।

তবে দীর্ঘমেয়াদে আপনার রবার্টের পোস্ট এবং প্রতিটি সাইটের নিরীক্ষণ এবং এর সেটআপের ভিত্তিতে একটি সিস্টেম পুনর্নির্মাণের পরিকল্পনা করা উচিত। আপনি যদি নিজের দলে কোনও সিসাদমিন যোগ করতে না পারেন, তবে পরিচালিত হোস্টিং ডিলের সন্ধান করুন যেখানে সিসডমিনিং সহায়তা এবং এই জাতীয় জিনিসটির 24 ঘন্টা প্রতিক্রিয়া হিসাবে আপনার আইএসপি প্রদান করেন। শুভকামনা :)

ম্যাথু ব্লচ
সূত্র
41

আপনাকে পুনরায় ইনস্টল করতে হবে। আপনার যা প্রয়োজন তা সংরক্ষণ করুন। তবে মনে রাখবেন যে আপনার সমস্ত রানযোগ্য ফাইলগুলি সংক্রামিত হতে পারে এবং তাতে छेड़छाड़ করতে পারে। আমি পাইথনটিতে নিম্নলিখিতগুলি লিখেছি: http://frw.se/monty.py যা একটি প্রদত্ত ডিরেক্টরিতে আপনার সমস্ত ফাইলের MD5-sumbs তৈরি করে এবং পরের বার আপনি এটি চালাবেন, এটি পরীক্ষা করে কিছু পরীক্ষা করা হয়েছে কিনা এবং তারপরে আউটপুট কি ফাইল পরিবর্তন হয়েছে এবং ফাইলগুলিতে কী পরিবর্তন হয়েছে।

অদ্ভুত ফাইলগুলি নিয়মিত পরিবর্তিত হয় কিনা তা দেখার জন্য এটি আপনার পক্ষে কার্যকর হতে পারে।

তবে আপনার এখনই করা উচিত, আপনার কম্পিউটারটি ইন্টারনেট থেকে সরিয়ে দেওয়া।

ফিলিপ একবার্গ
সূত্র
13
সুতরাং ... আপনি ট্রিপওয়্যার বাস্তবায়িত করেছেন।
দোলা
13
হ্যাঁ, এতে কিছু ভুল আছে?
ফিলিপ একবার্গ
1
আনপ্লাগ করার জন্য বিশ্লেষণ করুন, বিশ্লেষণ করুন (এটিতে কাউকে সত্যিকারের ফরেনসিক করতে করতে) এবং
মুছুন
4
একটি বেনামে পাইথন স্ক্রিপ্ট এবং একটি ডকুমেন্টেড, (কিছুটা) সমর্থিত, সুচিন্তিত স্ট্যান্ডার্ড সমাধানের মধ্যে পছন্দ দেওয়া, আপনি কি আশা করছেন যে তারা আগেরটি বেছে নেবে?
ট্রিপলি
37

দ্রষ্টব্য: এটি কোনও প্রস্তাব নয়। আমার নির্দিষ্ট ঘটনার প্রতিক্রিয়া প্রোটোকলটি সম্ভবত গ্রান্ট আনউইনের ক্ষেত্রে অশোধিত প্রয়োগ করবে না

আমাদের একাডেমিক সুবিধাগুলিতে আমাদের প্রায় 300 জন গবেষক রয়েছে যারা কেবল গণনা করেন। আপনার ওয়েবসাইটগুলির সাথে 600 ক্লায়েন্ট রয়েছে তাই আপনার প্রোটোকল সম্ভবত অন্যরকম হবে।

আমাদের যখন সার্ভার সমঝোতা প্রোটোকল পায় তার প্রথম পদক্ষেপগুলি :

  1. চিহ্নিত করুন যে আক্রমণকারী রুট অর্জন করতে সক্ষম হয়েছিল (উন্নত সুবিধাগুলি)
  2. ক্ষতিগ্রস্থ সার্ভার (গুলি) আনপ্লাগ করুন। নেটওয়ার্ক নাকি পাওয়ার? দয়া করে একটি পৃথক আলোচনা দেখুন
  3. অন্যান্য সমস্ত সিস্টেম পরীক্ষা করুন
  4. লাইভ সিডি থেকে আক্রান্ত সার্ভারটি বুট করুন
  5. ( alচ্ছিক ) সমস্ত সিস্টেম ড্রাইভের চিত্রগুলি দখল করুনdd

  6. পোস্ট-মর্টেম ফরেনসিক করা শুরু করুন। লগগুলি দেখুন, আক্রমণের সময়টি বের করুন, সেই সময় সংশোধিত ফাইলগুলি সন্ধান করুন। কিভাবে উত্তর দেওয়ার চেষ্টা করবেন ? প্রশ্ন।

    • সমান্তরালভাবে, পরিকল্পনা করুন এবং আপনার পুনরুদ্ধার কার্যকর করুন।
    • পরিষেবাটি পুনরায় শুরু করার আগে সমস্ত রুট এবং ব্যবহারকারী পাসওয়ার্ড পুনরায় সেট করুন

এমনকি যদি "সমস্ত ব্যাকডোর এবং রুটকিটগুলি পরিষ্কার হয়ে যায়", তবে সেই সিস্টেমে বিশ্বাস করবেন না - স্ক্র্যাচ থেকে পুনরায় ইনস্টল করুন।

রেভস আলেকসান্দ্র লেভুকুক
সূত্র
23
-1 পাওয়ার থেকে সার্ভার আনপ্লাগ করুন? আপনি সবেমাত্র আপনার ফরেনসিক ডেটা হারিয়ে ফেলেছেন!
জোশ ব্রোভার
@ জোশ, আমি আমার উত্তরটি সামঞ্জস্য করেছি - এখন কী কী আনপ্লাগ করা প্রশ্নে তা নিরপেক্ষ।
আলেকসান্দ্র লেভুকুক
5
র‌্যাম ফরেনসিক (যেমন / dev / shm) সহায়ক হতে পারে। আমি পাওয়ার কেবলটি আনপ্লাগিং করতে পছন্দ করি (তবে rsyncঠিক আগে লগ-ইন এবং / প্রোক করার চেষ্টা করুন )। আমরা ঘন ঘন ভিএম স্ন্যাপশটগুলিও চালু করতে পারি যাতে র‌্যাম ফরেনসিক সম্ভব হয় be পাওয়ার ক্যাবলে যাওয়ার কারণগুলি হ'ল (১) আপনি যখন হ্যাকড সিস্টেমে ফরেনসিক করেন তখন আপনি "অপরাধের দৃশ্যে সমস্ত পদক্ষেপ" নিচ্ছেন; (২) রুট কিটটি চলমান রাখে - দূষিতদের জন্য নেটওয়ার্ক লিঙ্ক ডাউন ইভেন্টে কোনও কিছু (উদাহরণস্বরূপ সিস্টেম মোছা-আউট) চালানো এত কঠিন নয় । কাইল র্যাঙ্কিন তার দুর্দান্ত ইন্ট্রো টু ফরেনসিক টক-এ ( goo.gl/g21Ok ) পাওয়ার ক্যাবলটি টান দেওয়ার পরামর্শ দিয়েছেন।
আলেকসান্দ্র লেভুকুক
4
কোনও আইআরই সমস্ত আইআর প্রোটোকলের সাথে খাপ খায় না - কিছু অরগগুলি আপত্তিজনক সিস্টেমটিকে কিছু সময়ের জন্য অনলাইনে রাখার প্রয়োজন হতে পারে, যে কোনও কারণেই হোক। (র‌্যাম অ্যান্ড টেম্প লগ ফরেনসিক, অনুপ্রবেশকারীদের সাথে কথোপকথন করা ইত্যাদি) আমার বক্তব্যটি হ'ল "আপসযুক্ত সার্ভারের পাওয়ার প্লাগটি টানুন" দিয়ে শুরু করার চেয়ে জেনেরিক আইআর প্রোটোকলের (উপরে জ্যাকব বোর্সের মতো) সুপারিশ করা ভাল be "
জোশ ব্রোভার
31

আমার সীমিত অভিজ্ঞতায় লিনাক্সের সাথে সিস্টেম আপসগুলি উইন্ডোজের চেয়ে বেশি 'বিস্তৃত' হয়ে থাকে। রুট কিটগুলি ম্যালওয়্যারটি আড়াল করার জন্য কাস্টমাইজড কোডের সাথে সিস্টেম বাইনারিগুলি প্রতিস্থাপনের সম্ভাবনা অনেক বেশি এবং কার্নেলের হট-প্যাচিংয়ের প্রতিবন্ধকতাটি কিছুটা কম lower এছাড়াও, এটি ম্যালওয়ারের প্রচুর লেখকের জন্য হোম ওএস। সাধারণ নির্দেশিকা সর্বদা স্ক্র্যাচ থেকে আক্রান্ত সার্ভারটি পুনর্নির্মাণ করা এবং এটি কোনও কারণ হিসাবে সাধারণ নির্দেশিকা।

সেই কুকুরছানাটিকে ফর্ম্যাট করুন।

তবে, যদি আপনি পুনর্গঠন করতে না পারেন (বা শক্তিগুলি-যা আপনাকে এটির প্রয়োজন তার কঠোর জেদের বিরুদ্ধে আপনি এটি পুনর্নির্মাণ করতে দেবেন না), আপনি কী খুঁজছেন?

যেহেতু মনে হচ্ছে যে অনুপ্রবেশটি আবিষ্কার হওয়ার পরে এটি একটি সময় হয়ে গেছে, এবং একটি সিস্টেম পুনরুদ্ধার করা হয়েছে, এটি খুব সম্ভবত সম্ভাব্য যে তারা কীভাবে প্রবেশ করল সেগুলি পরিষেবা পুনরুদ্ধারে স্ট্যাম্পেডে ঝাঁপিয়ে পড়েছিল। দু: খজনক।

অস্বাভাবিক নেটওয়ার্ক ট্র্যাফিক সম্ভবত সন্ধান করা সবচেয়ে সহজ, কারণ এতে বাক্সে কোনও কিছুই চালানো জড়িত না এবং সার্ভারটি চলাকালীন এবং যা কিছু করা যায় তা করা যায়। অনুমান করা যায় অবশ্যই আপনার নেটওয়ার্কিং গিয়ার পোর্ট-স্প্যানিংয়ের অনুমতি দেয়। আপনি যা খুঁজে পান তা ডায়াগোনস্টিক হতে পারে বা নাও হতে পারে তবে কমপক্ষে এটি তথ্য। অস্বাভাবিক ট্র্যাফিক পাওয়া শক্তিশালী প্রমাণ হবে যে সিস্টেমটি এখনও আপস করেছে এবং এর জন্য সমতলকরণ প্রয়োজন। টিপিটিবিকে বোঝানোর পক্ষে এটি যথেষ্ট ভাল হতে পারে যে একটি পুনর্নির্মাণ সত্যই, সত্যই, ডাউনটাইমের পক্ষে উপযুক্ত।

এটি ব্যর্থ হয়ে আপনার সিস্টেমের পার্টিশনগুলির একটি ডিডি-অনুলিপি নিন এবং অন্য বাক্সে তাদের মাউন্ট করুন। সমঝোতার মতো একই প্যাচ-স্তরে কোনও সার্ভারের সাথে সামগ্রীর তুলনা শুরু করুন। এটি আপনাকে কী আলাদা দেখায় তা চিহ্নিত করতে সহায়তা করবে (সেই সমস্ত md5sums আবার) এবং আপোস করা সার্ভারের উপেক্ষা করা জায়গাগুলি নির্দেশ করতে পারে। এটি ডিরেক্টরি এবং বাইনারিগুলির মধ্য দিয়ে প্রচুর পরিমাণে পদক্ষেপ নিচ্ছে এবং শ্রম নিবিড় হবে। এটি পুনরায় ফর্ম্যাট / পুনর্নির্মাণের চেয়ে আরও শ্রম নিবিড় হতে পারে এবং টিপিটিবিতে আসলে এটির পুনরায় ফর্ম্যাটটি করা দরকার যা আসলে দরকার doing

sysadmin1138
সূত্র
2
'সেই কুকুরছানাটিকে ফর্ম্যাট করুন' ' - +1, ageষি পরামর্শ। আরও দেখুন: "এটি কক্ষপথ থেকে নোক করুন, এটি নিশ্চিত হওয়ার একমাত্র উপায়" "
অ্যাভেরি পায়েেন
31

আমি বলব @ রবার্ট মইর, @ আলেকসান্দ্র লেভুকুক, @ ব্লুবেন এবং @ ম্যাথো ব্লচ সব কিছু তাদের প্রতিক্রিয়াতে বেশ স্পট-অন।

তবে, বিভিন্ন পোস্টারের উত্তরগুলি পৃথক হয় - কিছু উচ্চ স্তরের আরও থাকে এবং আপনার কী পদ্ধতিতে (সাধারণভাবে) হওয়া উচিত তা নিয়ে কথা হয় talk

আমি এটিকে আলাদা আলাদা অংশে আলাদা করতে পছন্দ করব 1) ট্রেইজ, একে, গ্রাহকদের কীভাবে মোকাবেলা করতে হবে এবং আইনী প্রভাব কীভাবে হবে এবং সেখান থেকে কোথায় যেতে হবে তা সনাক্ত করতে হবে (রবার্ট এবং @ ব্লুবেন 2 দ্বারা খুব ভালভাবে তালিকাভুক্ত) প্রভাব 3 প্রশমিতকরণ ) ঘটনার প্রতিক্রিয়া 4) ময়না পরবর্তী ফরেনসিক 5) প্রতিকার আইটেম এবং আর্কিটেকচার পরিবর্তন

(এখানে বয়লারপ্লেট স্যানস জিএসসি প্রত্যয়িত প্রতিক্রিয়া বিবৃতি Inোকান) অতীতের অভিজ্ঞতার ভিত্তিতে আমি নিম্নলিখিতটি বলব:

আপনি গ্রাহকের প্রতিক্রিয়া, বিজ্ঞপ্তিগুলি, আইনী এবং ভবিষ্যতের পরিকল্পনাগুলি কীভাবে পরিচালনা করছেন তা বিবেচনা না করেই আমি হাতের মুখ্য বিষয়ে মনোনিবেশ করতে পছন্দ করব। ওপিটির আসল প্রশ্নটি কেবলমাত্র # 2 এবং # 3 এর সাথে সম্পর্কিত, মূলত, আক্রমণটি কীভাবে বন্ধ করা যায়, গ্রাহকদের তাদের আসল অবস্থায় অনলাইনে এএসএপ ফিরিয়ে আনুন, যা প্রতিক্রিয়াগুলিতে ভালভাবে কভার হয়েছে।

বাকি প্রতিক্রিয়াগুলি দুর্দান্ত এবং ভবিষ্যতে এটি ঘটতে বাধা দেওয়ার পাশাপাশি এটির আরও ভাল প্রতিক্রিয়া উভয় রোধের জন্য প্রচুর শনাক্তকৃত সেরা-অনুশীলন এবং উপায়গুলি কভার করে।

এটি সত্যিকার অর্থে ওপি বাজেটের উপর নির্ভর করে এবং তারা কোন শিল্পের সেক্টরে রয়েছে, তাদের কাঙ্ক্ষিত সমাধান কী তা ইত্যাদির উপর নির্ভর করে

হতে পারে তাদের একটি ডেডিকেটেড অনসাইট এসএ ভাড়া নেওয়া দরকার। হতে পারে তাদের কোনও সুরক্ষা ব্যক্তি প্রয়োজন। অথবা সম্ভবত তাদের সম্পূর্ণরূপে পরিচালিত সমাধান যেমন ফায়ারহোস্ট বা র্যাকস্পেস ম্যানেজড, সফটলেয়ার, সার্ভপথ ইত্যাদি প্রয়োজন need

এটি সত্যিই নির্ভর করে যা তাদের ব্যবসায়ের জন্য কাজ করে। সম্ভবত তাদের মূল দক্ষতা সার্ভার পরিচালনায় নেই এবং তাদের এটি বিকাশের চেষ্টা করার কোনও অর্থ হয় না। বা, সম্ভবত তারা ইতিমধ্যে একটি দুর্দান্ত প্রযুক্তিগত সংস্থা এবং সঠিক নিয়োগের সিদ্ধান্ত নিতে পারে এবং একটি উত্সর্গীকৃত টিম ফুলটাইম আনতে পারে।

জাচারি হান্না
সূত্র
1
হ্যাঁ, এটি নির্ভর করে, আমরা জানি। এ কথা বললে সত্যিই তেমন কোনও উপকার হয় না।
ডেকে
27

কাজ করার পরে এবং সার্ভারটি একবার দেখার পরে আমরা সমস্যাটি সনাক্ত করতে সক্ষম হয়েছি। ভাগ্যক্রমে, রোধকৃত ফাইলগুলি রবিবার সিস্টেমে আপলোড করা হয়েছিল, যখন অফিসটি বন্ধ থাকে এবং লগ এবং ক্যাশে ফাইলগুলি ছাড়া কোনও ফাইল তৈরি করা উচিত নয়। একটি সহজ শেল কমান্ড দিয়ে সেদিন কোন ফাইলগুলি তৈরি করা হয়েছিল তা খুঁজে বের করার জন্য।

আপত্তিজনক সমস্ত ফাইলগুলি আমাদের কিছু পুরানো জেনকার্ট সাইটগুলিতে / চিত্রগুলি / ফোল্ডারের মধ্যে রয়েছে বলে মনে হচ্ছে। দেখে মনে হচ্ছে যে সুরক্ষা দুর্বলতা ছিল যে কোনও অ্যাডিয়টকে প্রশাসক বিভাগের চিত্র আপলোড বিভাগে অ-চিত্র আপলোড করার অনুমতি দিয়েছে (কার্ল ব্যবহার করে)। আমরা আপত্তিজনক। Php ফাইলগুলি মুছে ফেলেছি এবং চিত্র নয় এমন কোনও ফাইল আপলোডগুলি বাতিল করতে আপলোড স্ক্রিপ্টগুলি স্থির করেছি।

পূর্ববর্তী ক্ষেত্রে, এটি বেশ সহজ ছিল এবং আমি কাজ করার পথে আমার আইফোনে এই প্রশ্নটি উত্থাপন করেছি। আপনার সমস্ত সহায় ছেলেদের জন্য আপনাকে ধন্যবাদ।

ভবিষ্যতে এই পোস্টে যে কোনও ব্যক্তির রেফারেন্সের জন্য। আমি পাওয়ার প্লাগটি টানার পরামর্শ দেব না

gunwin
সূত্র
অনুদান, আমি আনন্দিত যে এটি আপনার জন্য খুব সহজেই কাজ করেছে worked এটি ছিল কিছুটা ছোটখাটো - আমাদের অনেকের ধারণা থেকে অনেক কম গুরুতর। এই আলোচনাটি আমাকে যোগাযোগের বিষয়ে একটি পাঠ শিখিয়েছিল, অশ্লীল প্রতিক্রিয়াগুলিতে চিন্তার জন্য অনেক ভাল টিপস এবং খাবার দিয়েছে।
আলেকসান্দ্র লেভুকুক
3
ফিরে আসার জন্য এবং কীভাবে আপনি এগিয়েছেন তা আমাদের জানানোর জন্য ধন্যবাদ - আপনি দেখতে পাচ্ছেন, আপনার প্রশ্নটি বেশ আলোচনার জন্ম দিয়েছে। আমি আনন্দিত যে আপনি এটির পক্ষে খুব খারাপভাবে আঘাত হানবেন না এবং শেষ পর্যন্ত আপনার সমাধানটি বেশ সহজ ছিল।
রব মোয়ার
5
এটি একটি মন্তব্য (বা আপনার প্রশ্নের পাঠ্য হিসাবে অন্তর্ভুক্ত) হওয়া উচিত, আপনার প্রশ্নের উত্তর নয়।
টেকবয়
5
@ টেকবয়: দেখে মনে হচ্ছে তিনি এখনও তার এসও এবং এসএফ অ্যাকাউন্টগুলিতে জড়িত নন, তাই তিনি নিজের প্রশ্নটি সম্পাদনা করতে পারবেন না। @ গ্রান্ট: আপনি আপনার ব্যবহারকারীর পৃষ্ঠায় "অ্যাকাউন্ট" প্যানেলের মাধ্যমে আপনার অ্যাকাউন্টগুলি সংযুক্ত করতে পারেন।
হিপ্পো
1
বেসলাইন কনফিগারেশন ছাড়াই আপনি কীভাবে জানেন যে রুটকিট চালাচ্ছেন না?
ইউনিক্স জানিটার
18

বিস্তৃত প্রযুক্তিগত উত্তরগুলিতে আমার অবদানের খুব কম আছে তবে দয়া করে এগুলির কয়েকটি নোট করুন:

অ-প্রযুক্তিগত ক্রিয়া:

  • ঘটনাটি অভ্যন্তরীণভাবে রিপোর্ট করুন।
    আপনার যদি ইতিমধ্যে কোনও ঘটনার প্রতিক্রিয়া পরিকল্পনা না থাকে তবে এটি সিওয়াইএ কৌশলটি উপস্থিত হতে পারে তবে আইটি বিভাগটি কেবল আপত্তিজনক সার্ভারের ব্যবসায়িক প্রভাব নির্ধারণের জন্য একমাত্র এবং প্রায়শই সেরা জায়গাও নয় ।
    ব্যবসায়ের প্রয়োজনীয়তা আপনার প্রযুক্তিগত উদ্বেগকে ডেকে আনতে পারে। "আমি আপনাকে তাই বলেছি" এবং ব্যবসায়ের উদ্বেগগুলির অগ্রাধিকার হ'ল কারণ আপনি এই আপোস সার্ভারটি প্রথম স্থানে রেখেছেন বলে বলবেন না। (" কার্য-পরবর্তী রিপোর্টের জন্য এটি ছেড়ে দিন " ")

  • কোনও সুরক্ষার ঘটনাকে Coverেকে রাখা কোনও বিকল্প নয়।

  • স্থানীয় কর্তৃপক্ষকে রিপোর্ট করা।
    সার্ভারফল্ট আইনী পরামর্শের জন্য জায়গা নয়, তবে এটি এমন একটি বিষয় যা ঘটনার প্রতিক্রিয়া পরিকল্পনায় অন্তর্ভুক্ত করা উচিত।
    কিছু স্থানীয় অঞ্চল এবং / বা নিয়ন্ত্রিত শিল্পগুলিতে স্থানীয় আইন প্রয়োগকারী, সংস্থাগুলি নিয়ন্ত্রণকারী বা প্রভাবিত গ্রাহক / ব্যবহারকারীদের অবহিত করা (নির্দিষ্ট) সুরক্ষা ঘটনার প্রতিবেদন করা বাধ্যতামূলক।
    নির্বিশেষে, রিপোর্ট দেওয়ার সিদ্ধান্ত নেওয়া বা আসল প্রতিবেদনই কেবলমাত্র তথ্য বিভাগে নেওয়া হয় না। ব্যবস্থাপনা এবং আইনী ও কর্পোরেট যোগাযোগ (বিপণন) বিভাগগুলি থেকে জড়িত থাকার প্রত্যাশা করুন।
    আপনার সম্ভবত খুব বেশি আশা করা উচিত নয়, ইন্টারনেট একটি বড় জায়গা যেখানে সীমান্তগুলির খুব কম অর্থ হয় না, তবে অনেক পুলিশ বিভাগে থাকা সাইবার ক্রাইম বিভাগগুলি ডিজিটাল অপরাধগুলি সমাধান করে এবং দোষীদের বিচারের আওতায় আনতে পারে।

HBruijn
সূত্র
16

আমি মনে করি এটি এগুলিতে ফুটে উঠেছে:

আপনি যদি নিজের কাজের মূল্য দেন তবে আপনার আরও ভাল পরিকল্পনা ছিল এবং এটি নিয়মিত সংশোধন করুন।

পরিকল্পনায় ব্যর্থ হওয়া ব্যর্থ হওয়ার পরিকল্পনা করছে এবং এটি সিস্টেম সুরক্ষার চেয়ে আর কোথাও সত্যবাদী নয়। <redacted> যখন ফ্যানটিকে আঘাত করে, আপনি এটিকে মোকাবেলার জন্য আরও প্রস্তুত থাকবেন।

এখানে আরও কিছু আছে (কিছুটা ক্লিক করা হয়েছে) যা এখানে প্রযোজ্য: প্রতিরোধ নিরাময়ের চেয়ে ভাল

আপনার বিদ্যমান সিস্টেমে নিরীক্ষণ করতে বিশেষজ্ঞদের পেতে এখানে বেশ কয়েকটি সুপারিশ দেওয়া হয়েছে। আমি মনে করি এটি ভুল সময়ে প্রশ্ন জিজ্ঞাসা করছে। এই ব্যবস্থাটি কখন স্থাপন করা হয়েছিল এবং উত্তরগুলি নথিভুক্ত করা উচিত ছিল। এছাড়াও, প্রশ্নটি হওয়া উচিত নয় "কীভাবে আমরা মানুষকে প্রবেশ করতে বাধা দিতে পারি?" এটি হওয়া উচিত "কেন লোকেরা মোটেই ভেঙে যেতে সক্ষম হবে?" আপনার নেটওয়ার্কে একগুচ্ছ ছিদ্রগুলির জন্য নিরীক্ষণ কেবল নতুন গর্ত পাওয়া না যাওয়া এবং শোষণ না হওয়া পর্যন্ত কাজ করবে। অন্যদিকে, সাবধানে কোরিওগ্রাফড নৃত্যে নির্দিষ্ট সিস্টেমে কেবল নির্দিষ্ট উপায়ে সাড়া দেওয়ার জন্য যে নেটওয়ার্কগুলি তৈরি করা হয়েছে সেগুলি অডিট থেকে মোটেই উপকৃত হবে না এবং তহবিলগুলি অপচয় হবে।

ইন্টারনেটে কোনও সিস্টেম স্থাপনের আগে নিজেকে জিজ্ঞাসা করুন - এটির কি 100% ইন্টারনেট মুখোমুখি হওয়া দরকার? যদি না হয়, না। এটিকে ফায়ারওয়ালের পিছনে রাখার বিষয়টি বিবেচনা করুন যেখানে আপনি কী কী ইন্টারনেট দেখবে তা সিদ্ধান্ত নিতে পারেন। আরও ভাল, যদি বলা হয় ফায়ারওয়াল আপনাকে সংক্রমণকে বাধা দিতে দেয় (বিপরীত প্রক্সি বা কোনও ধরণের একটি পাস-থ্রু ফিল্টারের মাধ্যমে) কেবল বৈধ ক্রিয়াকলাপ ঘটতে দেয় সে জন্য এটি ব্যবহারের দিকে নজর দিন।

এটি করা হয়েছে - এমন কোনও কোথাও একটি ইন্টারনেট ব্যাংকিং সেটআপ রয়েছে (যা ছিল) যার মুখোমুখি একটি লোড-ব্যালেন্সিং প্রক্সি রয়েছে যা তারা তাদের সার্ভারের পুল থেকে দূরে ভেক্টর আক্রমণগুলিতে ব্যবহার করতে যাচ্ছিল। সুরক্ষা বিশেষজ্ঞ মার্কাস রানুম তাদের বিপরীত পন্থা অবলম্বন করতে রাজি করেছিলেন, কেবল পরিচিত বৈধ ইউআরএলগুলির মাধ্যমে এবং 404 টি সার্ভারে অন্য সমস্ত কিছু প্রেরণের জন্য বিপরীত প্রক্সি ব্যবহার করে । এটি আশ্চর্যজনকভাবে সময়ের পরীক্ষা দাঁড়িয়েছিল।

পূর্বনির্ধারিত পারমিটের আশেপাশে থাকা কোনও সিস্টেম বা নেটওয়ার্ক একবারে আক্রমণটির ব্যর্থতা ডেকে আনে যা আপনি আগেই ভাবেননি। ডিফল্ট অস্বীকার আপনাকে কীসে প্রবেশ করবে এবং কী নেই তার থেকে অনেক বেশি নিয়ন্ত্রণ দেয় কারণ আপনি যতটা ভাল করার দরকার নেই ততক্ষণ আপনি বাইরে থেকে কিছু ভিতরে দেখতে দেবেন না

এই বলেছে, এই সমস্তগুলি আত্মতুষ্ট হওয়ার কোনও কারণ নয়। লঙ্ঘনের পরে প্রথম কয়েক ঘন্টা আপনার কাছে এখনও প্ল্যান থাকা উচিত। কোনও সিস্টেম নিখুঁত হয় না এবং মানুষ ভুল করে।

হারুন ম্যাসন
সূত্র
15

একজন আক্রমণকারী কীভাবে কোনও সিস্টেমের সাথে আপোস করতে পারে তা সন্ধান করতে আমাকে সম্প্রতি সহায়তা করেছিল। কিছু ক্র্যাকার ফাইলগুলিতে পরিবর্তনের সময় নকল করে তাদের চিহ্নগুলি গোপন করার চেষ্টা করে। পরিবর্তনের সময় পরিবর্তন করে পরিবর্তনের সময়টি আপডেট করা হয় (সিটিটাইম)। আপনি স্টেট সহ সিটিটাইম দেখতে পাবেন।

এই একটি লাইনার সিটিটাইমে বাছাই করা সমস্ত ফাইলের তালিকা করে:

find / -type f -print0 | xargs -0 stat --format '%Z :%z %n' | sort -nr > /root/all_files.txt

সুতরাং আপনি যদি সমঝোতার সময়টি মোটামুটিভাবে জানেন তবে আপনি দেখতে পারবেন কোন ফাইলগুলি পরিবর্তন বা তৈরি করা হয়েছে।

ah83
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.