নেটওয়ার্ক বা শক্তি টানুন? (একটি শিকড় সার্ভার শোনার জন্য)

11

যখন কোনও সার্ভার রুট হয়ে যায় ( উদাহরণস্বরূপ এইরকম পরিস্থিতি ), আপনি যে সিদ্ধান্ত নিতে পারেন সেই প্রথম জিনিসগুলির মধ্যে একটি হ'ল কনটেন্ট । কিছু সুরক্ষা বিশেষজ্ঞ অবিলম্বে প্রতিকারের ব্যবস্থা না করা এবং ফরেনসিক সম্পন্ন না হওয়া পর্যন্ত সার্ভারটি অনলাইনে রাখার পরামর্শ দেন। সেই পরামর্শগুলি সাধারণত এপিটির জন্য । আপনার যদি মাঝে মাঝে স্ক্রিপ্টের কিডি ভঙ্গ হয় তবে এটি আলাদা so প্রতিকারের পদক্ষেপগুলির একটি হ'ল সার্ভারের সংযোজনরবার্ট ময়ারের উত্তর থেকে উদ্ধৃত করে - "শিকারটিকে তার মগের থেকে সংযোগ বিচ্ছিন্ন করুন"।

নেটওয়ার্ক কেবল বা পাওয়ার কেবলটি টেনে একটি সার্ভার অন্তর্ভুক্ত থাকতে পারে ।

কোন পদ্ধতিটি ভাল?

প্রয়োজনীয়তার বিষয়টি বিবেচনা করে:

  1. ক্ষতিগ্রস্তদের আরও ক্ষতি থেকে রক্ষা করা
  2. সফল ফরেনসিক কার্যকর করা হচ্ছে
  3. (সম্ভবত) সার্ভারে মূল্যবান ডেটা রক্ষা করা

সম্পাদনা করুন: 5 অনুমান

ধরে নেওয়া যাক:

  1. আপনি তাড়াতাড়ি সনাক্ত করেছেন: 24 ঘন্টা।
  2. আপনি তাড়াতাড়ি পুনরুদ্ধার করতে চান: চাকরিতে প্রশাসনিক প্রশাসনের 3 দিনের (ফরেনসিক এবং পুনরুদ্ধার)।
  3. সার্ভারটি ভার্চুয়াল মেশিন বা কোনও ধারক নয় যা সার্ভারস মেমরির বিষয়বস্তু ক্যাপচার করে একটি স্ন্যাপশট নিতে সক্ষম।
  4. আপনি সিদ্ধান্ত নেওয়ার চেষ্টা করবেন না।
  5. আপনার সন্দেহ হয় যে আক্রমণকারী কিছু ধরণের সফ্টওয়্যার ব্যবহার করতে পারে (সম্ভবত পরিশীলিত) এবং এই সফ্টওয়্যারটি এখনও সার্ভারে চলছে।
rootkit  security 
আলেকজান্ডার লেভচুক
সূত্র
2
আপনি এখান থেকেও নামতে চাইতে পারেন: security.stackexchange.com
sysadmin1138
টম ও'কনর
2
@ টম - এটি কোনও ডুপ নয়, এটি সেই প্রশ্ন থেকে একটি নির্দিষ্ট পয়েন্টের এক্সটেনশন আলোচনা।
mfinni
3
@ sysadmin1138, বিশেষত সুরক্ষার
স্ট্যাকেক্সেঞ্জঞ্জ
জন গার্ডেনিয়ার্স

উত্তর:

6

যদি আপনি কোনও এপিটি-র মুখোমুখি হন, তবে আপনার সর্বোত্তম বিকল্পটি হনিপট স্থাপন করা এবং সার্ভারকে পর্যবেক্ষণ করার পাশাপাশি এটি যে সমস্ত ট্র্যাফিকের মধ্যে প্রবাহিত হয় এবং তার বাইরে চলে সে সম্পর্কে পুঙ্খানুপুঙ্খভাবে তদন্ত করা।

স্মৃতিচারণের মধ্য দিয়ে যাওয়ার পরিমাপটি সময় এবং প্রচেষ্টার দিক থেকে এত ব্যয়বহুল যে আপনি যদি অন্য প্রতিটি পদ্ধতি ব্যবহার না করে থাকেন তবে এটি সাধারণত সার্থক হয় না এবং যদি আপনি নির্ধারণ করেন যে এটি সার্থক তবে এটি হনিপোট স্থাপনের জন্য সর্বোত্তমভাবে সর্বোত্তম যা আপনাকে সহজেই ফেলে দিতে পারে ফ্লাইয়ের অন্য মেশিনে মেমরি এবং সিস্টেমের স্থিতি আসে যাতে মেশিনটি চালু এবং চলমান অবস্থায় আপনি সনাক্ত হওয়ার কম হুমকির সাথে বিশ্লেষণ করতে পারেন।

আমার একটা পরিস্থিতি ছিল যেখানে আক্রমণকারী স্মৃতিতে সমস্ত কিছু ডিগ্রীতে রেখে দেয় যে লগগুলি বাদে মেশিনটি তার চিত্রটির মতো দেখতে দেখতে একবার চালিত হয়ে ফিরে আসে। তারা তখন আবার হ্যাক করে আবার এটি ব্যবহার শুরু করবে কারণ দুর্বলতা এখনও ছিল - তাদের নিজের জন্য কোনও বাড়ির বাইরে যাওয়ার দরকার নেই didn't একটি মেমরি মূল্যায়ন এখানে সহায়তা করতে পারে, তবে ট্র্যাফিক পর্যবেক্ষণ করা এই ক্ষেত্রে দ্রুত দুর্বলতা চিহ্নিত করতে যথেষ্ট ছিল।

অতএব:

শক্তিটি টানতে এবং অফলাইন ডিস্কের মূল্যায়ন করা এড়াতে একমাত্র কারণ হ'ল যদি আপনি স্থানে থাকা এবং অপারেটিং অবস্থায় হুমকির একটি সম্পূর্ণ স্মৃতি বিশ্লেষণ করার যন্ত্রণাটি অতিক্রম করছেন। আপনি যদি এমন পর্যায়ে পৌঁছে গেছেন যেখানে এটি প্রয়োজনীয়, তবে উভয়ই প্লাগ টানানোর কোনও কারণ নেই।

যদি আপনি কোনও স্মৃতি বিশ্লেষণ না করে থাকেন তবে পাওয়ার প্লাগটি টানাই আপনার সেরা বাজি - ইথারনেটটি টানানো (বা একটি শাটডাউন কমান্ড ব্যবহার করা) কেবল আক্রমণকারীর সফ্টওয়্যার অগ্রিম বিজ্ঞপ্তি দিতে চলেছে - যা মাঝে মধ্যে গুরুত্বপূর্ণ।

তাই:

আপনি উভয়ই টানুন, যদি না আপনি কোনও স্মৃতি বিশ্লেষণ করেন, তবে এই ক্ষেত্রে টানবেন না।

অ্যাডাম ডেভিস
সূত্র
16

র‌্যাম ফরেনসিক (যেমন / dev / shm) সহায়ক হতে পারে।

তবে আমি পাওয়ার কেবলটি আনপ্লাগিং পছন্দ করি (তবে ঠিক আগে লগ-ইন করে আর আরএসআইএনসি / প্রোক করার চেষ্টা করুন)।

পাওয়ার ক্যাবলের জন্য যাওয়ার কারণগুলি হ'ল:

  1. যখন আপনি একটি হ্যাক করা সিস্টেমে ফরেনসিক করেন, আপনি "অপরাধের সমস্ত জায়গায় পদক্ষেপ" করছেন
  2. রুট কিটটি চলতে থাকে - নেটওয়ার্ক লিঙ্ক ডাউন ইভেন্টে দূষিতদের জন্য কোনও কিছু (উদাহরণস্বরূপ সিস্টেম মোছা আউট) চালানো এত কঠিন নয় ।

কাইল র্যাঙ্কিন ফরেনসিক আলাপচারিতায় একটি দুর্দান্ত পরিচয় দিয়েছেন - সেখানে তিনি বিদ্যুতের তারটি টানার পরামর্শ দিয়েছেন।

আলেকসান্দ্র লেভচুক
সূত্র
"অপরাধের সমস্ত জায়গায় পদক্ষেপ" এর জন্য +1 1 আপনি কী করছেন ঠিক জানেন না বা সঠিক ফরেনসিক প্রমাণ সংগ্রহের বিষয়ে সত্যই যত্নশীল না হলে আপনি কীভাবে ফরেনসিক করা শিখছেন সেই হিসাবে প্রমাণকে কলুষিত করার পরিবর্তে বিশেষজ্ঞদের কাছে ফোন করতে চাইতে পারেন ...
ডানডসড
10

নেটওয়ার্ক সংযোগ বিচ্ছিন্ন করুন। নেটওয়ার্ক সংযোগ না থাকলে আক্রমণকারী কোনও অতিরিক্ত তথ্য টানতে পারে না। শক্তি ছাড়াই কোনও ফরেনসিক করা খুব কঠিন (পড়ুন: অসম্ভব)।

জেসন বার্গ
সূত্র
3
আপনি লাইভ সিডির মাধ্যমে অফ-লাইন (এ) থেকে ফরেনসিক করতে পারেন, (বি) হার্ড ড্রাইভকে অন্য সিস্টেমে সরানোর মাধ্যমে, বা (সি) আক্রান্ত হার্ড ড্রাইভের চিত্র নেওয়ার পরে (লাইভ সিডির মাধ্যমে) ।
আলেকসান্দ্র লেভুকুক
3
প্রায়শই দরকারী প্রমাণ স্মৃতিতে থাকে। কোনও ক্ষয়ক্ষতির ক্ষতি হওয়ার পরামর্শ দেওয়ার আগে এটির অনুমতি দেওয়া দরকার।
সাইরেক্স
সুরক্ষা দ্বারা LOM ইন্টারফেস সংযোগ বিচ্ছিন্ন করার
কথাও ভাবুন
7

এই দিন এবং যুগে এটি ভার্চুয়াল মেশিন হিসাবে কাজ করতে পারে তাই উভয়ই পদ্ধতি সহজ এবং এমনকি দূরবর্তীভাবেও করা যেতে পারে। (ভার্চুয়াল মেশিনগুলি অবশ্যই স্ন্যাপশটগুলি ব্যবহারের সম্ভাবনার জন্ম দেয়)

আমি নেটওয়ার্ক থেকে একটি স্বয়ংক্রিয় প্রথম পদক্ষেপ হিসাবে সংযোগ বিচ্ছিন্ন করার পরামর্শ দেব, কারণ এটি আপনাকে পরবর্তী ধাপটি কী হওয়া উচিত তা চিন্তা করার সময় দেয়, পরবর্তী পদক্ষেপটি বিদ্যুতের কর্ডটি বাইরে বেরিয়ে আসে বা অন্য কিছু। আপনি যদি জানেন যে আপনার কর্পোরেট "সুরক্ষা প্রতিক্রিয়া পদ্ধতিগুলি" আপনাকে মেশিনের মাধ্যমে বিশদভাবে খনন করতে সময় ব্যয় করতে দেয় না তবে র‌্যামের বিষয়বস্তু সংরক্ষণ করা তত গুরুত্বপূর্ণ নয়।

আমি পরামর্শ দিই যে "যেভাবে এটি করা হয়েছে তার শিকার থেকে আলাদা করা" যেভাবে করা হোক তার চেয়ে গুরুত্বপূর্ণ, সুতরাং উভয় পন্থাই বৈধ। পাওয়ারকার্ডটি টানতে আমার কোনও সমস্যা নেই, এটিকে এভাবে রাখা যাক।

রব মোয়ার
সূত্র
ভিএম এর জন্য +1। আপনি যদি নেটওয়ার্কটি প্লাগ প্লাগ করেন তবে রুটকিট চলমান থাকবে -
দূষিতদের পক্ষে
6
চলমান সিস্টেমের অবস্থার স্ন্যাপশটগুলি এমন একটি দুর্দান্ত ধারণা যা আমি এটির জন্য না ভেবে নিজের জন্য খুব হতাশ হই।
jgoldschrafe
@ অ্যালেক্সান্ডার - আমি প্রকৃত উদাহরণটি ভাবার চেষ্টা করেছি এবং আমি একটি ফাঁকা অঙ্কন করছি, তবে আমি মনে করি যে একটি রুটকিট মনে আছে যা পুরোপুরি স্মৃতিতে থাকে তাই প্লাগটি টানলে হারিয়ে যাবে। আমি মনে করি এটি কোনওভাবেই প্রমাণ খোয়া যাওয়ার ঝুঁকি নিয়ে যাওয়ার একটি ঘটনা।
রব মায়ার
6

এটি কোনও একটি / বা পরিস্থিতি নয়। আপনি উভয়ই করতে চান - আপনি নেটওয়ার্ক থেকে সরানো একটি সিস্টেমে কিছু নির্দিষ্ট ফরেনসিক (চলমান প্রক্রিয়াগুলির শোনার জন্য, সকেটগুলি, / টেম্পে ফাইলগুলি ইত্যাদি) সম্পাদন করতে চান এবং তারপরে একটি নিরাপদ থেকে আপনার অবশিষ্ট ডায়াগনস্টিকগুলি সম্পাদন করতে চান পরিবেশ (যেমন একটি লাইভ সিডি)। এমন পরিস্থিতি রয়েছে যেখানে দুজনের কাছে যাওয়াও সঠিক নয়, যদিও আপনার সংস্থায় সেগুলি কী হতে পারে সে সম্পর্কে আপনাকে ভাবতে হবে এবং বুঝতে হবে।

jgoldschrafe
সূত্র
আপনি যদি নেটওয়ার্কটি প্লাগ প্লাগ করেন তবে রুটকিট চলতে থাকবে - দূষিত কোডটির জন্য কোনও নেটওয়ার্ক লিঙ্ক ডাউন ইভেন্টে কোনও কিছু (উদাহরণস্বরূপ সিস্টেম মোছা-আউট) চালানো এত কঠিন নয় ।
আলেকসান্দ্র লেভুকুক
এটি অবশ্যই সত্য, এবং আপনি পরিস্থিতির সংবেদনশীলতার উপর নির্ভর করে আপনি নিতে চান কিনা তা নির্ধারণ করার এবং সিদ্ধান্ত নেওয়ার একটি সুযোগ। কিছু রুটকিট কেবল মেমরির বাসিন্দা, এবং যদি আপনি সিস্টেমে শক্তি হারিয়ে ফেলেন তবে আপনি কীভাবে এটি পেয়েছেন তা নির্ধারণের কোনও সম্ভাবনা বাদ দেন। লিঙ্কের স্থিতি রাখার সময় আপনি সুইচ পোর্টের বাইরে ট্র্যাফিক ব্লক করার চেষ্টা করতে পারেন, তবে যে কোনও রুটকিট সফ্টওয়্যার এবং অন্য কোনও সফ্টওয়্যার যা কিছু করতে পারে তা করতে পারে - ডিফল্ট গেটওয়ে পরীক্ষা করতে বা অ্যাক্সেসযোগ্য না হলে একই বোমাটি বন্ধ করে দেওয়ার কিছুই নেই।
jgoldschrafe
4

আপনি কিছু করার আগে, আপনার যদি শেষ বিচারের জন্য প্রমাণ সংরক্ষণের প্রয়োজন হয় তা বের করুন। প্রমাণ হ্যান্ডলিং খুব কৌতূহলোদ্দীপক বিষয় এবং মনোজ্ঞ প্রশিক্ষিতদের জন্য নয়। একবার আপনি এটির উত্তর দিলে প্রশিক্ষিত কম্পিউটার ফরেনসিক ব্যক্তি সেখান থেকে নিতে পারেন।

sysadmin1138
সূত্র
1
প্রথমত, আমার মনে হয় প্রসিকিউট বা না করার সিদ্ধান্ত নেওয়া উচিত ? । কাইল র্যাঙ্কিন তার আলাপে ( goo.gl/g21Ok )। এটি নিয়ে আলোচনা করে শুরু হয়। মামলা চালানোর জন্য একজনকে যথেষ্ট পরিমাণে ক্ষতির প্রমাণ সরবরাহ করা দরকার।
আলেকসান্দ্র লেভুকুক
1
@ আলেকসান্দার সাধারণভাবে আপনার আপসকৃত হার্ডওয়্যার এবং ডেটা পুনরায় ব্যবহার করতে পারবেন না বা আপনাকে যদি এটি গুদাম করতে হবে এবং সম্পূর্ণ নতুন অংশগুলি থেকে একটি নতুন সিস্টেম তৈরি করতে হবে তবে প্রক্রিয়া শুরুর খুব আগে আপনার জানা দরকার। আর্থিক বা ব্যবসায়িক সুনামের ক্ষতি আপনি প্রমাণ করার আগে এটি খুব সম্ভবত। সম্ভাব্য কার্যকর কার্যকর ঘটনা ঘটেছে এমন মুহূর্তে কেউ বুঝতে পেরে প্রমাণ চেইন সংরক্ষণ করা দরকার।
sysadmin1138
প্রায়শই বিকল্পগুলি খোলা রেজিট্রিকেশন চালিয়ে যাওয়া শুরু করা বা না করা, যেমন আপনি আর্থিক ক্ষতি হ্রাস কিনা তা জানেন না, তাই প্রাথমিক পর্যায়ে বইয়ের দ্বারা সমস্ত কিছু করা, হেফাজতের শৃঙ্খলা রাখা গুরুত্বপূর্ণ।
ররি আলসপ
3

সার্ভারটি বন্ধ করার দরকার নেই। আপনি কেবল সীমান্ত গেটওয়ে / রাউটার থেকে সংযোগটি অক্ষম করতে পারেন। ফায়ারওয়ালের একটি নিয়ম আরও প্রেরিত / প্রাপ্ত প্যাকেট বাতিল করতে যথেষ্ট।

খালেদ
সূত্র
+1 এটির কারণ হ'ল গেটওয়ে রাখা ভাল ধারণা। তবে যদি আপনার একটি না থাকে? আপনি যদি সরাসরি নেটওয়ার্ক কেবলটি প্লাগ করেন - রুটকিটটি নেটওয়ার্ক লিঙ্ক ডাউন ইভেন্টটি গ্রহণ করতে পারে । এবং রুট সার্ভারে লগ ইন করা এবং সেখানে 0 দিন কিছু করা খারাপ ধারণা না?
আলেকসান্দ্র লেভুকুক
2

উত্তরটি মূলত "মূল" দ্বারা আপনি কী বোঝাতে চান তার উপর নির্ভর করে। নেটওয়ার্কের সীসা টানাই সাধারণত একটি ভাল ধারণা, বিশেষত যদি আপনি বিশ্বাস করেন যে এটি সংবেদনশীল তথ্যের সন্ধানকারী একটি সক্রিয় মানব আক্রমণকারী ছিল।

শক্তি টানতে উত্তর দেওয়া আরও কঠিন। আপনি যদি মনে করেন যে দূষিত কোড চলছে যা এর ট্র্যাকগুলি কভার করতে পারে তবে তা করুন। তবে আপনি যদি মনে করেন যে স্মৃতিতে কোনও ব্রেক-ইন হওয়ার প্রমাণ থাকতে পারে তবে এটি চালিয়ে যান।

সামগ্রিকভাবে, এটি নির্ভর করে যদি আপনি দূষিত কোড, অসন্তুষ্ট কর্মী বা কোনও নির্দিষ্ট লক্ষ্যকে মাথায় রেখে কারও সাথে কাজ করছেন।

সাবধানতার দিকে যদি ভুল হয়ে থাকে তবে শক্তিটি টানুন। আপনি সামান্য পরিমাণের সম্ভাব্য প্রমাণাদি হারাবেন, তবে স্বয়ংক্রিয় কোড দ্বারা অন্যান্য প্রমাণের ব্যাপক অপসারণ রোধ করতে পারেন।

- তারপরেও, আপনি যদি মনে করেন যে মেশিনটি আপোস করা হয়েছে এবং আপনি জানেন যে এটির কোনও সংবেদনশীল ডেটা নেই, আপনি অন্য কোথাও আপনার নেটওয়ার্ক সুরক্ষার বিষয়ে অত্যন্ত আত্মবিশ্বাসী এবং এটি করার ফলাফলগুলি বুঝতে পারেন, সম্ভবত অ্যাস্যাপে একটি ফরেনসিক বফিন পান এবং দেখুন আপনি আক্রমণটি সনাক্ত করতে বা বুঝতে পারছেন এবং সেখান থেকে যেতে পারেন কিনা। যদিও এটি সাধারণত একটি ভাল ধারণা নয়

Sirex
সূত্র
1

আমার উত্তর সম্পাদনার আগে 5 অনুমান সহ ছিল।
আমার ধারণাটি ছিল যে আপনার সার্ভারটি যদি রুট হয়ে যায় তবে আপনি একটি পরিশীলিত, লক্ষ্যযুক্ত আক্রমণকারীকে মোকাবেলা করছেন এবং আক্রমণটি কখন এবং কোথায় এসেছিল তা জানার কোনও উপায় আপনার নেই। (যেহেতু মেশিনটি মূলোহিত ছিল, স্পষ্টতই আপনি যা বলছেন তাতে আপনি বিশ্বাস করতে পারবেন না However তবে আপনার কাছে কিছু অফ-বাক্সের তথ্য থাকতে পারে, যেমন আইডিএস ...)
আমিও ধরে নিয়েছিলাম যে আপনার আক্রমণকারীর সাথে ডিল করার ক্ষেত্রে আপনার আগ্রহ আছে, এবং কেবল avingেউ না not বিরক্তিকর উড়ানের মতো তাকে ছেড়ে দাও। যদি ধরে নেওয়া আক্রমণকারী কোনও স্ক্রিপ্টের কিডি হয় তবে এটি আলাদা হবে। আমি আরও ধরে নিয়েছি যে, আক্রমণকারী যেহেতু লক্ষ্যবস্তু এবং পরিশীলিত, তাই সম্ভবত আপনার মেশিনে তাদের কাস্টম সফ্টওয়্যার রয়েছে, এটি আপনার ক্রিয়াকলাপের প্রতিক্রিয়া জানাতে পারে ...

আমরাও।
পরীক্ষা করে দেখুন /security//q/181/33 উভয় ক্ষেত্রেই তার একটি খারাপ ধারণা।
এটি কালো নাইটকে দু'দিক বান্দিডি দেওয়ার মতো ... খুব অল্প, খুব দেরী, এটি খুব বেশি সাহায্য করবে না।

যারা মনে করেন যে এই উত্তরটি খুব বেশি দূরে, বা কেবল "সুরক্ষা-সচেতন" যথেষ্ট নয় - আপনার বুঝতে হবে যে এটি ইতিমধ্যে অনেক দেরি হয়ে গেছে
আপনি এটি সম্পূর্ণরূপে সংযোগ বিচ্ছিন্ন করলেও এটি আর আপনার সার্ভার নয়। এমনকি যদি আপনি বন্ধ করে দেন তবে আপনার সমস্ত এভিএস চালান এবং যা কিছু - আপনার এটি আর নেই, তারা তা করে।
"রুট" এর সংজ্ঞাটি এমনই।

এখন, ধরে নিই যে তারা এর মালিকানাধীন রয়েছে এবং আপনার কাছ থেকে তাদের মালিকানা আড়াল করতে পারে, আপনার বিবেচনা করা দরকার - এটিকে অকার্যকরভাবে সংযোগ বিচ্ছিন্ন করে দেবে কী? শুধুমাত্র জিনিস এটা acheive হবে - যেহেতু এটি নির্বিশেষে মূলী করা চলতে থাকবে - আপনার প্রতিদ্বন্দ্বী জানি তুমি তাদের আছি দিন হয়। যা কেবল তাদের রক্ষীদের রাখে এবং তাদের নিজের পরে পরিষ্কার করা শুরু করে (যদি তারা ইতিমধ্যে না থাকে), যা কেবল ফরেনসিকের কোনও আশা মেরে ফেলবে। আপনি এখনও সেই সার্ভার বা এর কোনও ডেটা সুরক্ষিত করছেন না। এটি কতকাল ধরে মূল হয়েছে ? কীভাবে জানবেন?

আপনি ভাল কি করছেন:

  • সার্ভারটি চালু রেখে চলমান ...
  • এটি আপনার অন্যান্য অভ্যন্তরীণ নেটওয়ার্ক, অন্যান্য সার্ভার, ইত্যাদি থেকে পৃথক করুন - তবে কোনও ধরণের সিমুলেশন প্লাগ করা ভাল, তাই এটি সংযুক্ত বলে মনে হয়
  • চুপচাপ রিয়েলটাইম / নেটওয়ার্ক ফরেনসিক, রান ট্রেস ইত্যাদি শুরু করুন
  • ক্ষতির পরিমাণ এবং দৈর্ঘ্যটি চেষ্টা করে দেখুন (এটি যদি 2 ঘন্টা আগে বা 2 মাস আগে সুখী হয় তবে তা অবশ্যই আলাদা) different
  • সেখান থেকে চালিয়ে যান ... প্রকৃত ক্ষতি প্রশমিত করার পরে , এগিয়ে যান এবং এটি পরিষ্কার করুন।
  • অবশ্যই মূল কারণগুলি তদন্ত করতে ভুলবেন না, এবং এটি আবার না ঘটে তা নিশ্চিত করার জন্য যা কিছু নিয়ন্ত্রণ প্রয়োগ করুন ...
ক্ষুধিত
সূত্র
2
আমি মনে করি এটি এমন পরিস্থিতিতে কাজ করতে পারে যেখানে আপনি দ্রুত এটিকে একটি সিমুলেটেড / বিচ্ছিন্ন পরিবেশে নিয়ে যেতে পারেন, তবে খুব কম সংস্থাগুলি এটি করতে পারে যে বাস্তবে তারা 'প্রভাব কমানো' বিষয়টির দিকে যেতে চায়, তাই শক্তি বা নেটওয়ার্ককে আনপ্লাগিং করতে চায় হ'ল প্রায়শই সেই হুমকির তাত্ক্ষণিক অপসারণ। (তবুও আপনাকে + 1'ed যেমন আমার ইচ্ছে মতো এটি করা হয়েছে :-)
ররি আলসপ
@ রোরি সমস্যাটি হ'ল আপনি প্রভাবটি হ্রাস করতে পারবেন না , সার্ভারটি ইতিমধ্যে বন্ধ হয়ে গেছে। আপনি এটি ফিরে পাচ্ছেন না, এবং কোনও সংবেদনশীল ডেটাও সম্ভবত চুরি হয়ে গেছে, যেহেতু আপনি জানেন না যে তাদের কতক্ষণ অ্যাক্সেস রয়েছে had এটি বলেছিল, সিমুলেটেড পরিবেশটি কেবল আইসিং, এটি বিচ্ছিন্নতা গুরুত্বপূর্ণ - এবং আমি বিশ্বাস করি বেশিরভাগ সংস্থাগুলির স্থানে একটি শক্ত ফায়ারওয়াল রয়েছে, অ্যাক্সেসের কয়েকটি নিয়ম ফ্লিপ করুন এবং আপনি সোনার। অ্যাক্সেসযোগ্য সার্ভারগুলি ডিএমজেডে থাকার অন্য কারণ
হ'ল
এছাড়াও, আমি কিছু পরিষ্কার করতে চাই - ওএস রুট হওয়ার পরে উপরেরটি প্রযোজ্য । যদি আপনার ওয়েবসাইটে অ্যাপ্লিকেশন স্তরের দুর্বলতার কোনও ফর্ম (যেমন এসকিউএল ইঞ্জেকশন) ব্যবহার করা হচ্ছে, তবে নিখুঁতভাবে এটি বন্ধ করে দিন এবং সমস্ত তারগুলি টানুন যাতে আপনি আপনার হাত পেতে পারেন! তবে ওএস রুট আলাদা - তারা আপনার মেশিনের পুরো অবকাঠামো নিয়ন্ত্রণ করে। আপনার আর কোনও নিয়ন্ত্রণ নেই।
এভিডি
2
না, আমি যা বোঝাতে চেয়েছি তা হ'ল রুটড মেশিনের ওপারে প্রভাব হ্রাস করা। আমি সম্মতি দিয়েছি এটি সম্পূর্ণরূপে হারিয়ে গেছে, তবে যতক্ষণ না আপনি এটিকে দ্রুত বিচ্ছিন্ন করতে না পারেন, আপনার নিজের সিস্টেমের বাকি
অংশগুলিতে
0

আপনার অনুমানগুলি পর্যালোচনা করে উভয়ই করেন। বর্তমান অবস্থা ডাম্প করতে সিডি / ডিভিডি ভিত্তিক মিডিয়া ব্যবহার করুন। প্রাথমিকভাবে আপনি কীভাবে আপস করেছেন তা সনাক্ত করতে সক্ষম হতে চাইবেন। আপনি আপনার ব্যাকআপ চিত্রগুলিতে নাও ব্যবহারকারীর ডেটা পুনরুদ্ধারের চেষ্টা করতে পারেন। ইয়ো

তারপরে দূষণযুক্ত নয় এমন সর্বশেষ ব্যাকআপ মিডিয়া থেকে সিস্টেমটি পুনর্নির্মাণ করুন। সম্ভব হলে চেকসাম দিয়ে এটি যাচাই করুন। বিকল্পভাবে, ইনস্টলেশন মিডিয়া থেকে সফ্টওয়্যারটি পুনরায় ইনস্টল করুন এবং পুনরায় কনফিগার করুন। আপনি নিজের সার্ভারটি কনফিগার করতে পুতুল বা সিএফইঙ্গাইন ব্যবহার করে থাকলে পুনরায় কনফিগারেশনটি স্বয়ংক্রিয় হওয়া উচিত।

ব্যবহারকারীর ডেটা পুনরায় লোড করুন এবং রুট কিটের উপাদানগুলির জন্য স্ক্যান করুন। ডেটা ডিরেক্টরিতে আপনার কোনও সেটুইড বা সেটগিড প্রোগ্রাম নেই যাচাই করুন।

সিস্টেমকে সংক্রামিত করতে ব্যবহৃত অ্যাক্সেসের পদ্ধতিটি নির্ধারণ এবং বন্ধ করুন। প্রত্যাশা অনুযায়ী চলমান অ্যাপ্লিকেশনগুলি যাচাই করার সময় দিয়ে সার্ভারের স্টেজ পুনরায় সক্রিয়করণ। নতুন সংক্রমণের চেষ্টাগুলির জন্য সাবধানতার সাথে নিরীক্ষণ করুন।

এই সমস্ত ধারণা করে যে সংক্রমণটি মূল স্তরে রয়েছে। ওয়েব সার্ভার দ্বারা চালিত কোড পরিবর্তন করে ওয়েব সংক্রমণ করা যেতে পারে। ওয়েব সার্ভারকে এর কোডটিতে অ্যাক্সেস লেখার অনুমতি দেওয়া এটিকে আরও সহজেই সম্পন্ন করতে পারে। আপনি এখনও এই কেসটিকে এমন আচরণ করতে চাইতে পারেন যেন রুট অ্যাকাউন্টটি আপোস হয়েছে।

যদি একটি সিস্টেমে রুটকে কোনও সিস্টেমে আপস করা হয় তবে আপনার আরও সিস্টেম আপোস করতে পারে। সংক্রামিত সিস্টেমের পাসওয়ার্ড ছাড়াই কোন সিস্টেমে অ্যাক্সেস করা যায় তা সাবধানতার সাথে বিবেচনা করুন।

রিভস বিলথোর
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.