Quelles sont les principales étapes de l'analyse médico-légale d'une boîte Linux après qu'elle ait été piratée ?
Disons qu'il s'agit d'un serveur linux générique mail/web/database/ftp/ssh/samba. Et il a commencé à envoyer du spam, à scanner d'autres systèmes Comment commencer à chercher comment le piratage a été fait et qui est responsable ?
Voici quelques éléments à essayer avant de redémarrer :
Tout d'abord, si vous pensez que vous pourriez être compromis débranchez votre câble réseau pour que la machine ne puisse plus faire de dégâts.
Ensuite, si possible s'abstenir de redémarrer car de nombreuses traces d'un intrus peuvent être effacées en redémarrant.
Si vous avez pensé à l'avance, et que vous avez enregistrement distant en place, utilisez vos journaux à distance, et non ceux de la machine, car il est trop facile pour quelqu'un de trafiquer les journaux de la machine. Mais si vous n'avez pas de journaux distants, examinez soigneusement les journaux locaux.
Vérifiez dmesg car il sera également remplacé au redémarrage.
Dans linux, il est possible d'avoir des programmes en cours d'exécution - même après que le fichier en cours d'exécution ait été supprimé. Vérifiez-les avec la commande fichier /proc/[0-9]*/exe|grep "(deleted)" . (ils disparaissent au redémarrage, bien sûr). Si vous voulez sauvegarder une copie du programme en cours d'exécution sur le disque, utilisez /bin/dd if=/proc/ nom de fichier /exe de= nom de fichier
Si vous avez bons exemplaires connus de who/ps/ls/netstat, utilisez ces outils pour examiner ce qui se passe sur la boîte. Notez que si un rootkit a été installé, ces utilitaires sont généralement remplacés par des copies qui ne donnent pas d'informations précises.
Le problème est de savoir si vos copies de ps/ls/... sont bonnes. Vous pourriez vérifier leur md5sum, mais là encore, le md5sum peut aussi avoir été remplacé.
Cela dépend totalement de ce qui a été piraté, mais en général,
Vérifiez l'horodatage des fichiers qui ont été modifiés de manière inappropriée, et croisez ces heures avec les succès de ssh (dans /var/log/auth*) et ftp (dans /var/log/vsftp* si vous utilisez vsftp comme serveur) pour découvrir quel compte a été compromis et de quelle IP provient l'attaque.
Vous pouvez probablement savoir si le compte a fait l'objet d'un forçage brutal si le même compte a fait l'objet d'un grand nombre de tentatives de connexion infructueuses. S'il n'y a pas ou peu de tentatives de connexion infructueuses pour ce compte, le mot de passe a probablement été découvert d'une autre manière et le propriétaire de ce compte a besoin d'un cours sur la sécurité des mots de passe.
Si l'IP est d'un endroit proche, il pourrait s'agir d'un "travail de l'intérieur".
Si le compte racine a été compromis, vous avez bien sûr de gros problèmes et, si possible, je reformaterais et reconstruirais la boîte à partir de zéro. Bien sûr, vous devriez changer tous les mots de passe de toute façon.
Vous devez vérifier tous les journaux des applications en cours d'exécution. Par exemple, les journaux d'Apache peuvent vous indiquer comment un pirate pourrait exécuter des commandes arbitraires sur votre système.
Vérifiez également si vous avez des processus en cours d'exécution qui analysent les serveurs ou envoient du spam. Si c'est le cas, l'utilisateur Unix à partir duquel ils sont exécutés peut vous dire comment votre boîte a été piratée. Si c'est www-data alors vous savez que c'est Apache, etc.
Sachez que parfois, certains programmes comme ps sont remplacés...
Naaah !
Vous devez éteindre le système, connecter le disque dur à une interface en lecture seule (c'est une interface spéciale IDE ou SATA, ou USB, etc... qui ne permet aucune écriture, quelque chose comme ça : http://www.forensic-computers.com/handBridges.php ) et faire une copie exacte avec DD.
Vous pouvez le faire sur un autre disque dur, ou sur une image disque.
Ensuite, stockez dans un endroit profer et totalement sûr ce disque dur, c'est la preuve originale sans aucune altération !
Plus tard, vous pourrez brancher ce disque cloné, ou cette image, sur votre ordinateur d'investigation. S'il s'agit d'un disque, vous devez le brancher via une interface en lecture seule, et si vous allez travailler avec une image, montez-la en lecture seule.
Ensuite, vous pouvez travailler dessus, encore et encore, sans changer aucune donnée...
Pour info, il existe des images de systèmes "piratés" sur Internet pour s'entraîner, ce qui permet de faire de la criminalistique "à la maison"...
PS : Qu'en est-il du système piraté qui a été mis hors service ? Si je pense que ce système est compromis, je ne le laisserais pas connecté, j'y placerais un nouveau disque dur, et je restaurerais une sauvegarde ou je mettrais un nouveau serveur en production jusqu'à ce que l'expertise judiciaire soit terminée...
Prenez un vidage de la mémoire et l'analyser avec un outil d'analyse de la mémoire, tel que Second regard .
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
