কীভাবে একটি হ্যাক করা সার্ভার হ্যাক হয়েছিল তা সন্ধান করা

11

আমি কেবল সাইটের মাধ্যমে ব্রাউজ করছি এবং এই প্রশ্নটি পেয়েছি: আমার সার্ভারটি ইমারজেন্সি হ্যাক হয়েছে । মূলত প্রশ্নটি বলে: আমার সার্ভারটি হ্যাক হয়ে গেছে। আমার কি করা উচিৎ?

সেরা উত্তর চমৎকার কিন্তু এটা আমার মনের মধ্যে কিছু প্রশ্ন উত্থাপিত। প্রস্তাবিত পদক্ষেপগুলির মধ্যে একটি হ'ল:

আক্রমণগুলি কীভাবে আপনার সুরক্ষা নিয়ে আপস করতে সফল হয়েছিল তা বুঝতে 'আক্রমণ করা' সিস্টেমগুলি পরীক্ষা করুন am আক্রমণগুলি "কোথা থেকে" এসেছিল তা জানার জন্য সর্বাত্মক প্রচেষ্টা করুন, যাতে আপনার সমস্যাগুলি কী কী তা বুঝতে এবং ভবিষ্যতে আপনার সিস্টেমকে সুরক্ষিত করার জন্য সমাধান করা দরকার।

আমি কোনও সিস্টেম অ্যাডমিন কাজ করে নি তাই আমি কীভাবে এটি শুরু করব তা আমার কোনও ধারণা নেই। প্রথম পদক্ষেপটি কী হবে? আমি জানি যে আপনি সার্ভার লগ ফাইলগুলিতে সন্ধান করতে পারেন তবে আক্রমণকারী হিসাবে প্রথম কাজটি আমি করতাম লগ ফাইলগুলি মুছে ফেলা। আক্রমণগুলি কীভাবে সফল হয়েছিল আপনি কীভাবে "বুঝতে" পারবেন?

security 
sixtyfootersdude
সূত্র
আমি কয়েকটি 'হ্যাক' সার্ভার দেখেছি এবং তাদের মধ্যে একটিও লগ মুছে নি; আমি জানি যদিও এটি ঘন ঘন ঘটে। আক্রমণকারীটির সাধারণত একটি প্রাথমিক উদ্দেশ্য থাকে (ডেটা চুরি করা বা সার্ভারটি প্রক্সি / মধ্যস্থতাকারী হিসাবে সাধারণত ব্যবহার করা) এবং তাদের প্রবেশকে অস্পষ্ট করা একটি গৌণ উদ্দেশ্য।
ক্রিস এস
আইএমএইচএও নিজেকে জিজ্ঞাসা করা ভাল যে কোনও সার্ভারকে কীভাবে আরও সুরক্ষিত করা যায় এবং কীভাবে এটি সঠিকভাবে নিরীক্ষণ করা যায়।
tmow
এই দিন এবং যুগে "হ্যাক করা" সার্ভারটি স্বয়ংক্রিয় স্ক্রিপ্ট কিডি সরঞ্জামগুলি থেকে প্রায়শই লগগুলি মুছে দেয়, প্রায়শই নিজেকে আড়াল করার চেষ্টাও করে না।
সাইরেক্স

উত্তর:

11

আমি এটি বলেই শুরু করব, আপনার কাছে যদি কোনও লগ ফাইল না থাকে , তবে সেখানে আক্রমণাত্মক ঘটনাটি কীভাবে বা কীভাবে সফল হয়েছিল তা আপনি কখনই বুঝতে পারবেন না এমন যুক্তিযুক্ত যথেষ্ট সম্ভাবনা রয়েছে । এমনকি পূর্ণ এবং যথাযথ লগ ফাইল থাকা সত্ত্বেও, কে, কী, কোথায়, কখন, কেন এবং কীভাবে সম্পূর্ণরূপে বোঝা অত্যন্ত কঠিন হতে পারে।

সুতরাং, লগ ফাইলগুলি কতটা গুরুত্বপূর্ণ তা জেনে আপনি সেগুলি কতটা নিরাপদে রাখতে হবে তা বুঝতে শুরু করে। এজন্য সংস্থাগুলি সুরক্ষা তথ্য ও ইভেন্ট ম্যানেজমেন্ট বা অল্প সময়ের জন্য এসআইইএম-তে বিনিয়োগ করতে হবে এবং করা উচিত ।

সিয়েম

সংক্ষেপে, আপনার সমস্ত লগ ফাইলকে নির্দিষ্ট ইভেন্টগুলিতে (সময়ভিত্তিক বা অন্যথায়) সম্পর্কিত করে তোলা একটি অত্যন্ত দুরূহ কাজ হতে পারে। আপনি যদি বিশ্বাস না করেন তবে ডিবাগ মোডে আপনার ফায়ারওয়াল সিসলোগগুলি একবার দেখুন। এবং এটি ঠিক একটি সরঞ্জাম থেকে! একটি এসআইইএম প্রক্রিয়া এই লগ ফাইলগুলিকে একটি লজিক্যাল ইভেন্টের একটি সিরিজে রাখে যা ঘটেছিল তা বুঝতে খুব সহজ করে তোলে।

কীভাবে এটি আরও ভালভাবে বুঝতে শুরু করা যায়, এটি অনুপ্রবেশ পদ্ধতিগুলি অধ্যয়ন করতে সহায়ক ।

ভাইরাস কীভাবে লিখিত হয় তা জানার জন্য এটিও সহায়ক । বা কিভাবে একটি রুটকিট লিখতে হয় ।

এটি হানিপোট সেটআপ এবং অধ্যয়ন করতে চরম উপকারী হতে পারে ।

এটি একটি লগ পার্সার পেতে এবং এটিতে দক্ষ হতে সহায়তা করে।

আপনার নেটওয়ার্ক এবং সিস্টেমগুলির জন্য একটি বেসলাইন সংগ্রহ করা সহায়ক। আপনার পরিস্থিতিতে "অস্বাভাবিক" ট্র্যাফিক কি "সাধারণ" ট্র্যাফিক?

আপনার কম্পিউটার হ্যাক হওয়ার পরে করণীয় সম্পর্কে সিইআরটির একটি দুর্দান্ত গাইড রয়েছে, উল্লেখযোগ্যভাবে (যা সরাসরি আপনার নির্দিষ্ট প্রশ্নের সাথে সম্পর্কিত) "অনুপ্রবেশ বিশ্লেষণ করুন" বিভাগে:

  • সিস্টেম সফ্টওয়্যার এবং কনফিগারেশন ফাইলগুলিতে করা পরিবর্তনগুলির সন্ধান করুন
  • ডেটা পরিবর্তন করার জন্য দেখুন
  • অনুপ্রবেশকারী দ্বারা রেখে যাওয়া সরঞ্জাম এবং ডেটা সন্ধান করুন
  • লগ ফাইলগুলি পর্যালোচনা করুন
  • কোনও নেটওয়ার্ক স্নিফারের লক্ষণ সন্ধান করুন
  • আপনার নেটওয়ার্কে অন্যান্য সিস্টেম পরীক্ষা করুন
  • প্রত্যন্ত সাইটে জড়িত বা প্রভাবিত সিস্টেমগুলির জন্য পরীক্ষা করুন

আপনার মত অনেক প্রশ্ন এসএফ এর উপর জিজ্ঞাসা করা হয়েছে:

  1. সার্ভার হ্যাকের পোস্ট মর্টেম কীভাবে করবেন
  2. হোস্ট ফাইল এবং নেটস্যাট এ অদ্ভুত আইটেম
  3. এটি কি হ্যাকের চেষ্টা?
  4. আমি কীভাবে হ্যাকিং বা সুরক্ষার দৃষ্টিকোণ থেকে লিনাক্স শিখতে পারি

এটি একটি চূড়ান্তভাবে সংশ্লেষিত এবং জড়িত প্রক্রিয়া হতে পারে। আমার অন্তর্ভুক্ত বেশিরভাগ লোকেরা যদি আমার এসআইইএম অ্যাপ্লায়েন্সেস একসাথে রাখতে পারে তার চেয়ে আরও বেশি কিছু জড়িত থাকে তবে কেবল একজন পরামর্শক নিয়োগ করবেন।

এবং স্পষ্টতই, আপনি যদি কখনই পুরোপুরি বুঝতে চান যে আপনার সিস্টেমগুলি কীভাবে হ্যাক হয়েছিল, আপনাকে সেগুলি অধ্যয়ন করতে এবং মহিলাদের ছেড়ে দিতে হবে years

GregD
সূত্র
এসআইইএম
রব মোয়ার
দুঃখিত। আমার উত্তর এই মুহুর্তে পুরো জায়গা জুড়ে। আমি এটি 04:00 ঘন্টা লিখতে শুরু করেছি এবং আমার কফি IV এখনও স্থাপন করা হয়নি।
গ্রেগড
2

এই সামান্য একটি উত্তর মিলিয়ন মাইল প্রশস্ত এবং উচ্চ হতে পারে, এবং একটি হ্যাক সার্ভারে যা ঘটেছিল তা আনপিক করা প্রায় কোনও শিল্প হিসাবে প্রায় একটি আর্টফর্ম হতে পারে, তাই আমি আবার একটি নির্দিষ্ট সেটের পরিবর্তে প্রারম্ভিক পয়েন্ট এবং উদাহরণ দেব অনুসরণ করার পদক্ষেপ।

একটি বিষয় মনে রাখবেন যে একবার আপনি কোনও অনুপ্রবেশের মুখোমুখি হয়ে গেলে আপনি নিজের কোডটি, আপনার সিস্টেম প্রশাসন / কনফিগারেশন এবং পদ্ধতিটি এই জ্ঞান সহ নিরীক্ষণ করতে পারেন যে সেখানে অবশ্যই কোনও দুর্বলতা রয়েছে। এটি ড্রাইভের অনুপ্রেরণাকে তাত্ত্বিক দুর্বলতা হতে পারে যা সেখানে থাকতে পারে বা থাকতে পারে না তার চেয়ে বেশি অনুসন্ধান করতে সহায়তা করে। বেশিরভাগ ক্ষেত্রেই লোকেরা অনলাইনে স্টাফ রাখে কোডটি জানার সময় কিছুটা বেশি নিরীক্ষণ করা যেতে পারে, যদি কেবল আমাদের সময় থাকত; বা সিস্টেমটি আরও দৃ firm়ভাবে লক হয়ে গেছে, কেবল যদি এটি এত অসুবিধে না হয়; বা পদ্ধতিগুলি কিছুটা কড়া করে তোলে, কেবল যদি দীর্ঘ পাসওয়ার্ড মনে রাখার পক্ষে বসের পক্ষে এতটা বিরক্ত হত না। আমাদের সবচেয়ে সম্ভবত দুর্বল দাগগুলি কোথায় তা আমরা সবাই জানি, তাই সেগুলি দিয়ে শুরু করুন।

একটি আদর্শ বিশ্বে আপনার লগগুলি অন্য সার্ভারে (আশা করি আপস করা হবে না) সিসলগ সার্ভারে সঞ্চিত থাকবে , কেবল সার্ভার থেকে নয় এমন কোনও ফায়ারওয়াল, রাউটার ইত্যাদি যা ট্র্যাফিক লগইন করে। নেসাসের মতো সরঞ্জামও উপলব্ধ রয়েছে যা কোনও সিস্টেম বিশ্লেষণ করতে এবং দুর্বলতাগুলি সন্ধান করতে পারে।

তৃতীয় পক্ষের সফ্টওয়্যার / ফ্রেমওয়ার্কগুলির জন্য, প্রায়শই সর্বোত্তম অনুশীলন গাইড রয়েছে যা আপনি আপনার স্থাপনার নিরীক্ষণের জন্য ব্যবহার করতে পারেন, বা আপনি সুরক্ষা সংবাদ এবং প্যাচিংয়ের শিডিয়ুলের দিকে বেশি মনোযোগ দিতে পারেন এবং ব্যবহার করা হতে পারে এমন কিছু ছিদ্র উন্মোচন করতে পারেন।

শেষ অবধি, বেশিরভাগ অনুপ্রেরণা একটি অল্প বয়সের ছাপ ফেলে ... যদি আপনার এটির জন্য সময় এবং ধৈর্য থাকে তবে। "ড্রাইভ বাই" স্ক্রিপ্ট কিডির অনুপ্রবেশ বা হ্যাকিং টুলকিটগুলি ব্যবহার করে ব্রেক ব্রেকগুলি সাধারণ দুর্বলতার দিকে মনোনিবেশ করে এবং এমন একটি নিদর্শন ছেড়ে যেতে পারে যা আপনাকে সঠিক দিক নির্দেশ করে। বিশ্লেষণ করা সবচেয়ে কঠিন বিষয় হ'ল ম্যানুয়াল পরিচালিত অনুপ্রবেশ (উদাহরণস্বরূপ কেউ "একটি" ওয়েবসাইট হ্যাক করতে চায় নি, বরং এর পরিবর্তে "আপনার" ওয়েবসাইটটি হ্যাক করতে চেয়েছিল) এবং অবশ্যই এটি সবচেয়ে গুরুত্বপূর্ণ বিষয়গুলি বোঝার জন্য।

যেখান থেকে সত্যিই জানেন না এমন ব্যক্তির জন্য (বা এমনকি অভিজ্ঞ ব্যক্তিদের যাদের অন্যান্য কর্তব্য রয়েছে তাদের জন্য) প্রথম পদক্ষেপটি সম্ভবত উপরের পদক্ষেপগুলির ভাল অভিজ্ঞতার সাথে কাউকে ভাড়া করা। এই পদ্ধতির আরেকটি সুবিধা হ'ল তারা উত্তরগুলির কোনও পূর্ব ধারণা বা ধারণাগুলি ছাড়াই আপনার সেটআপটির দিকে তাকিয়ে থাকবে।

রব মোয়ার
সূত্র
1
+1 আসলে আমি যুক্ত করব যে লড়াই করার পরে প্রতিরোধ আরও ভাল, এর অর্থ হ'ল কেবল যে একদিন ঘটেছিল তা প্রতিরোধ করা। সুতরাং এটি প্রথম নজরে গুরুত্বপূর্ণ, সমস্যা সমাধানের সহজীকরণ এবং প্রভাবগুলি হ্রাস করার কৌশল রয়েছে।
tmow
1

"আমি জানি যে আপনি সার্ভার লগ ফাইলগুলিতে সন্ধান করতে পারেন তবে আক্রমণকারী হিসাবে প্রথম যে কাজটি আমি করতাম তা লগ ফাইলগুলি মুছে ফেলা হত" "

আপস করার ধরণের উপর নির্ভর করে আক্রমণকারীটির লগগুলি মুছে ফেলতে সক্ষম হতে আপোষযুক্ত সার্ভারে যথেষ্ট উচ্চতর সুযোগ সুবিধা নাও থাকতে পারে। টেম্পারিং রোধ করতে (নির্দিষ্ট বিরতিতে স্বয়ংক্রিয়ভাবে রফতানি করা) অন্য সার্ভারে সার্ভার লগগুলি অফবক্সে রাখা ভাল অনুশীলন।

আপোস করা সার্ভার লগগুলির বাইরে, এখনও নেটওয়ার্কিং লগগুলি রয়েছে (ফায়ারওয়াল, রাউটার, ইত্যাদি) সেইসাথে ডিরেক্টরি পরিষেবা থেকে প্রমাণীকরণ লগ, যদি থাকে (অ্যাক্টিভ ডিরেক্টরি, রেডিয়াস, ect)

সুতরাং লগগুলি সন্ধান করা এখনও সেরা কাজগুলির মধ্যে একটি।

কোনও আপোষযুক্ত বাক্সের সাথে কাজ করার সময়, যা ঘটেছিল তা একসাথে ছুঁড়ে ফেলার লগগুলির মধ্য দিয়ে যাওয়া সর্বদা আমার অন্যতম প্রধান উপায়।

-Josh

জোশ ব্রোয়ার
সূত্র
আমি একটি ক্লাস শেষ সেমিস্টারের জন্য কিছু খুব সীমিত লগ বিশ্লেষণ করেছি। আপনি একটি বিশাল লগ ফাইলের গর্তটি কীভাবে খুঁজে পাবেন? আপনি শেষ এন্ট্রি তাকান? সন্দেহজনক এন্ট্রিগুলি কীভাবে চিহ্নিত করবেন?
ষাট ফুটারসুডুডে
সন্দেহজনক এন্ট্রিগুলি কীভাবে চিহ্নিত করবেন? আদর্শভাবে তুলনা করার জন্য লগের ইতিহাসগুলি রেখে এবং / অথবা সন্দেহজনক এন্ট্রিগুলি কী দেখায় তা জানার জন্য পর্যাপ্ত পরিমাণে তা পরীক্ষা করেই, তাই আপনি স্বাভাবিকভাবে প্রতিদিনের জিনিসগুলি দূর করতে পারেন এবং কী বাকী রয়েছে তা ঘনিষ্ঠভাবে দেখতে পারেন।
রব মোয়ার
1
আমি মাইরের সাথে একমত হব সিসাদমিনকে সিস্টেমটি যথেষ্ট পরিমাণে জানতে হবে যে কোনও পরিষেবা কখন চলবে তা সে জানে। কিছু সন্দেহজনক লগ এন্ট্রিগুলি খুঁজে পাওয়া সত্যিই সহজ কারণ তাদের ছেড়ে দেওয়া নির্দিষ্ট স্বাক্ষর রয়েছে (যেমন নিমদা স্ক্যানিং), অন্য লগ এন্ট্রিগুলির সাথে, এটি বৈধ ছিল বা না থাকলে কেবলমাত্র আরও প্রসঙ্গ নির্ধারণ করবে।
জোশ Brower
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.