লিনাক্স বক্সটি হ্যাক হওয়ার পরে ফরেনসিক বিশ্লেষণ করার প্রধান পদক্ষেপগুলি কী কী?

লিনাক্স বক্সটি হ্যাক হওয়ার পরে ফরেনসিক বিশ্লেষণ করার প্রধান পদক্ষেপগুলি কী কী?

বলুন এটি জেনেরিক লিনাক্স সার্ভার মেল / ওয়েব / ডাটাবেস / এফটিপি / এসএসএস / সাম্বা। এবং এটি স্প্যাম প্রেরণ, অন্য সিস্টেমগুলি স্ক্যান করা শুরু করেছিল .. কিভাবে হ্যাক হয়েছে এবং কীভাবে দায়ী তা অনুসন্ধান করা শুরু করবেন?

রিবুট করার আগে চেষ্টা করার জন্য এখানে কিছু জিনিস রয়েছে:

প্রথমত, আপনি যদি ভাবেন যে আপনার আপত্তিযুক্ত হতে পারে আপনার নেটওয়ার্ক কেবলটি আনপ্লাগ করুন যাতে মেশিনটি আরও ক্ষতি করতে না পারে।

তারপরে, সম্ভব হলে পুনরায় বুট করা থেকে বিরত থাকুন, পুনরায় বুট করার মাধ্যমে একজন প্রবেশকারীের অনেকগুলি চিহ্ন মুছে ফেলা যায়।

আপনি যদি আগেই ভাবেন, এবং জায়গায় দূরবর্তী লগিং থাকতেন, তবে মেশিনে থাকা নয়, আপনার দূরবর্তী লগগুলি ব্যবহার করুন কারণ মেশিনে থাকা লগগুলির সাথে কারওরাই চলাচল করা এত সহজ। তবে আপনার যদি দূরবর্তী লগ না থাকে তবে স্থানীয় লোকগুলি ভালভাবে পরীক্ষা করুন।

Dmesg পরীক্ষা করুন , কারণ এটি পুনরায় বুট করার পরেও প্রতিস্থাপন করা হবে।

লিনাক্সে চলমান প্রোগ্রামগুলি রাখা সম্ভব - চলমান ফাইল মোছার পরেও। কমান্ড ফাইল / proc / [0-9] * / exe | গ্রেপ "(মুছে ফেলা)" দিয়ে এগুলি পরীক্ষা করুন । (এগুলি অবশ্যই রিবুটটিতে অদৃশ্য হয়ে যায়)। আপনি যদি চলমান প্রোগ্রামের একটি অনুলিপি ডিস্কে সংরক্ষণ করতে চান, তবে / বিন / ডিডি ব্যবহার করুন = / proc / ফাইল নাম / এক্স ফাইল = নাম

আপনি যদি কে / পিএস / এলএস / নেটসট্যাট সম্পর্কে ভাল কপিগুলি জানেন , তবে বাক্সে কী চলছে তা পরীক্ষা করতে এই সরঞ্জামগুলি ব্যবহার করুন। মনে রাখবেন যে কোনও রুটকিট ইনস্টল করা থাকলে, এই ইউটিলিটিগুলি সাধারণত অনুলিপিগুলিতে প্রতিস্থাপন করা হয় যা সঠিক তথ্য দেয় না।

এটি সম্পূর্ণরূপে কী হ্যাক হয়েছিল তার উপর নির্ভর করে, তবে সাধারণভাবে,

অনুপযুক্তভাবে সংশোধিত ফাইলগুলির টাইমস্ট্যাম্পগুলি পরীক্ষা করে দেখুন এবং সফল এসএসএস (ইন / var / লগ / অউথ *) এবং এফটিপি (যদি আপনি সার্ভার হিসাবে vsftp ব্যবহার করছেন) এর সাথে ক্রস-রেফারেন্স করুন কোন অ্যাকাউন্টে আপস করা হয়েছিল এবং কোন আইপি থেকে আক্রমণটি এসেছে তা সন্ধান করুন।

একই অ্যাকাউন্টে প্রচুর ব্যর্থ লগইন প্রচেষ্টা থাকলে অ্যাকাউন্টটি নিষ্ঠুরভাবে বাধ্য করা হয়েছিল তা আপনি সম্ভবত জানতে পারবেন। যদি সেই অ্যাকাউন্টের জন্য লগইন প্রচেষ্টা বা কেবল কয়েকটি ব্যর্থ প্রচেষ্টা না ঘটে থাকে, তবে সম্ভবত পাসওয়ার্ডটি অন্য কোনও উপায়ে আবিষ্কার করা হয়েছিল এবং সেই অ্যাকাউন্টের মালিকের পাসওয়ার্ড সুরক্ষার জন্য একটি বক্তৃতা প্রয়োজন।

আইপি যদি কাছাকাছি কোথাও থেকে আসে তবে এটি "অভ্যন্তরীণ কাজ" হতে পারে

যদি রুট অ্যাকাউন্টটি আপোস করা হত তবে অবশ্যই আপনি বড় সমস্যায় পড়েছেন এবং আমি যদি সম্ভব হয় তবে বাক্সটিকে গ্রাউন্ড থেকে পুনর্নির্মাণ এবং পুনর্নির্মাণ করব। অবশ্যই আপনার যাইহোক সমস্ত পাসওয়ার্ড পরিবর্তন করা উচিত।

আপনাকে চলমান অ্যাপ্লিকেশনগুলির সমস্ত লগ পরীক্ষা করতে হবে। উদাহরণস্বরূপ, অ্যাপাচি লগগুলি আপনাকে বলতে পারে যে কোনও হ্যাকার কীভাবে আপনার সিস্টেমে স্বেচ্ছাসেবক আদেশগুলি কার্যকর করতে পারে।

আপনার সার্ভারগুলি স্ক্যান করে বা স্প্যাম প্রেরণকারী প্রক্রিয়াগুলি চলছে কিনা তাও পরীক্ষা করুন। যদি এটি হয় তবে যে ইউনিক্স ব্যবহারকারীরা তাদের কাছ থেকে চালাচ্ছেন তারা আপনাকে বলতে পারে যে কীভাবে আপনার বাক্সটি হ্যাক হয়েছিল। যদি এটি www-ডেটা হয় তবে আপনি জানেন এটি অ্যাপাচি ইত্যাদি

সচেতন থাকুন যে কখনও কখনও কিছু প্রোগ্রাম যেমন psপ্রতিস্থাপন করা হয় ...

Naaah!

আপনার শাট ডাউন করা উচিত, হার্ড ডিস্কটিকে কেবল একটি পঠন ইন্টারফেসের সাথে সংযুক্ত করা উচিত (এটি একটি বিশেষ আইডিই বা সটা, বা ইউএসবি, ইত্যাদি ... ইন্টারফেস যা কোনও লেখার অনুমতি দেয় না, এই জাতীয় কিছু: http: //www.forensic- কম্পিউটারস / হ্যান্ডব্রিজেজ.এফপি) এবং ডিডি দিয়ে হুবুহু ডুপ করে।

আপনি এটি অন্য হার্ড ড্রাইভে করতে পারেন, বা আপনি এটি কোনও ডিস্ক চিত্রে করতে পারেন।

তারপরে, হার্ড ডিস্কটি কোনও উন্নত এবং সম্পূর্ণ নিরাপদ স্থানে সঞ্চয় করুন, কোনও প্রকার छेলা ছাড়াই আসল প্রমাণ!

পরে, আপনি সেই ক্লোনড ডিস্ক বা চিত্রটি আপনার ফরেনসিক কম্পিউটারে প্লাগ করতে পারেন। যদি এটি কোনও ডিস্ক হয় তবে আপনার এটি কেবল পঠনযোগ্য ইন্টারফেসের মাধ্যমে প্লাগ করতে হবে এবং আপনি যদি কোনও চিত্র নিয়ে কাজ করতে চলেছেন তবে এটি 'কেবল পঠনযোগ্য' মাউন্ট করুন।

তারপরে আপনি কোনও ডেটা পরিবর্তন না করে বার বার এটিতে কাজ করতে পারবেন ...

এফওয়াইআই, অনুশীলনের জন্য ইন্টারনেটে "হ্যাক" সিস্টেমের চিত্র রয়েছে, তাই আপনি "বাড়িতে" ফরেনসিক করতে পারেন ...

পিএস: হ্যাকড সিস্টেমটি কীভাবে নামিয়ে আনা হয়েছে? যদি আমি মনে করি যে সিস্টেমটি আপোস করা হয়েছে, আমি এটিকে সংযুক্ত রাখব না, আমি সেখানে একটি নতুন হার্ড ডিস্ক রেখেছি, এবং একটি ব্যাকআপ পুনরুদ্ধার করব বা ফরেনসিক সমাপ্ত না হওয়া পর্যন্ত উত্পাদনে একটি নতুন সার্ভার স্থাপন করব ...

একটি মেমরি ডাম্প নিন এবং এটিকে মেমোরি ফরেনসিক সরঞ্জাম, যেমন দ্বিতীয় বর্ণের সাথে বিশ্লেষণ করুন ।

আপনার নিজেকে প্রথমে জিজ্ঞাসা করা উচিত: "কেন?"

এখানে আমার কাছে বোধগম্য কিছু কারণ রয়েছে:

• ক্ষতি মূল্যায়ন
• তারা কীভাবে প্রবেশ করল চিত্র
• এটি কোনও অভ্যন্তরীণ কাজ ছিল কিনা তা নির্ধারণ করুন

এর বাইরে যাওয়ার বিষয়টি প্রায়শই বোঝা যায় না। পুলিশ প্রায়শই যত্ন করে না, এবং যদি তারা তা করে তবে তারা আপনার হার্ডওয়্যারকে অভিভূত করবে এবং তাদের নিজস্ব ফরেনসিক বিশ্লেষণ করবে।

আপনি যা খুঁজে পান তার উপর নির্ভর করে আপনি আপনার জীবনকে অনেক সহজ করে তুলতে সক্ষম হতে পারেন। যদি কোনও এসএমটিপি রিলে আপোস হয় এবং আপনি নির্ধারণ করেন যে এটি কোনও বহিরাগত পক্ষ দ্বারা শোচিত অনুপস্থিত প্যাচের কারণে হয়েছিল, আপনি শেষ করেছেন। বাক্সটি পুনরায় ইনস্টল করুন, প্যাচিংয়ের যা দরকার তা প্যাচ করুন এবং এগিয়ে যান।

প্রায়শই যখন "ফরেনসিক" শব্দটি উত্থাপিত হয়, লোকেরা সিএসআই এর দৃষ্টিভঙ্গি দেখায় এবং কী ঘটেছিল সে সম্পর্কে সমস্ত ধরণের উদ্দীপক বিবরণ সন্ধান করার বিষয়ে চিন্তাভাবনা করে। এটি হতে পারে, তবে আপনার যদি এটি না করেন তবে এটি একটি বিশাল লিফট তৈরি করবেন না।

আমি অন্যান্য প্রতিক্রিয়াগুলি পড়তে পারি নি, তবে আমি প্রমাণগুলি সংরক্ষণ এবং কেবল চিত্রটি পরীক্ষা করার জন্য এটির একটি ভুতুড়ে চিত্র তৈরি করবো .... সম্ভবত ...

আমি সানস ইনস্টিটিউটের একটি নিবন্ধ " ডেড লিনাক্স মেশিনস টো টেল টেলস " পড়ার সর্বাধিক পরামর্শ দিচ্ছি । এটি ২০০৩ সালের, তবে তথ্য আজও মূল্যবান।