キャッシング - 侵入システム回復ガイド
。
gbvy[W
。
1。セキュリティポリシーを議論するために
あなたの組織は、独自のセキュリティポリシーを持っていない場合は、独自のセキュリティポリシーを作成するには、次の手順を実行する必要があります。
1.1。管理相談
。時の事故復旧の点に注意してください、ネットワーク管理者は、内のさまざまな部門の協力を得ることができます。侵略は、メディアに注目して可能性があること知っている必要があります。
1.2。と弁護士
する前に、復旧作業の開始時に、あなたの組織がいるかどうかの法的調査を決定する必要があります。
。。。あなたの法律顧問は、手続は、あなたは侵入者の責任を(民事上または刑事上の)指示することができる必要があります。
さて、あなたは、この事故は、あなたがまたはお客様のシステムのセキュリティを向上させることができるときに何をすべきかを決定する
選択してアラーム。
。警察が調査して喜んでいるかどうか、これらに基づいて、あなたが見たいと報告することができます。
侵入イベントでは、管理者や法律顧問は、次の問題を議論する必要があります:
あなたはそれが法律を破るかどうか、侵入者やトラッキングのネットワーク接続を追跡する場合は、。
あなたのサイトが侵入を認識されている場合は、法的責任を負うために、防止するための措置を取ることはなかった。
。
。
。
1.3。アラーム
通常、または***侵略者調査の任意の型が必要な場合、それは最高には、次の議論する管理者と弁護士と始まろうとしている。関連する法執行機関に通知する。
。
1.4。通知その他の関係者
管理者は、外部の弁護士に加えて、他のネットワーク管理やユーザーなどのスタッフに影響を与える可能性があります動作するようにお戻りに通知する必要があります。
2。リカバリプロセス内のレコードのすべての手順
これは、回復プロセスを記録にかかるすべてのステップを測定することだと言っても過言ではないが非常に重要。浸透しているシステムの復元に多くの時間を費やすことは非常に面倒なことです、それはしばしばいくつかの性急な決定をする人々を導く。。。
Bには、システムの制御を取り戻す
1。ネットワークから切断さ侵襲のシステムにする
右されているシステムの制御を侵略回復するためには、接続をダイヤルするなど、ネットワークから切断する必要があります。。。システムが浸透していたのでしかし、再起動するか、またはシングルユーザ/ローカルの管理者モードに切り替えると、それは、いくつかの有用な情報を失うことになるすべての現在殺される実行中のプロセス。
したがって、C.5節を入力する必要があります。システムは、スニファネットワークを実行している浸透しているかどうかを決定するためにネットワークにスニファーを参照してください。
システムリカバリプロセスでは、システムれている場合、UNIXシングルユーザーモードには、ユーザー、侵入者やシステムへの侵入プロセスのアクセスを防ぐことができますまたはスイッチのホストの動作状態を。回復プロセスは、プロセス内の回復のためのシステムおよびネットワーク接続に分割されていない場合は、侵入者を機能させるには、戻り値のホスト、破壊に接続することができる。
2。コピーシステムイメージは浸潤する
。。
あなたは、ハードディスクと同じサイズやタイプにしている場合は、UNIXのコマンドは、システムにハードディスクにコピーされますddを使用することができます。
、Linuxシステムでは、2つのSCSIハードディスクたとえば、次のコマンドは、バックアップと同じサイズのハードディスク(/ dev / sdbと)のタイプは、システム(/ sdaのディスクは/ dev内)に正確なコピーをコピーされますがの。 # dd if=/dev/sda of=/dev/sdb
詳細については、ddコマンドは、このコマンドはマニュアルページをお読みください。
。NTシステムではしていない組み込みコマンドは、システムの侵入画像に行うためには、ハードドライブ全体をコピーするにはいくつかのサードパーティ製のプログラムを使用することができますddに似た。
バックアップは非常に重要です作成するには、新たに発見された状態に侵入するようにシステムを復元する必要があります。それが参考になった法的調査することができる。バックアップのレコードレーベル、署名、日付をクリックし、データの整合性を維持するために安全な場所に保存する。
侵略のC.
。
Åのシステムにすべてのバイナリファイルを確認してください
システムソフトウェアと構成ファイルの変更で、侵入者をチェックし、忘れないようにしてください:あなたが検証ツール自体を変更されている可能性があります使用して、オペレーティングシステムのカーネルも変更される場合がありますが、これは非常に一般的です。したがって、私は、あなたが信頼され、カーネルのブート時のシステムを使用することをお勧めは、使用するすべての分析ツールは、クリーンする必要があります。。
あなたは徹底的に、すべてのシステムのバイナリを確認してください比較して、元のメディア(CD - ROMなど)でそれらを解放する。それは既にトロイの木馬バイナリファイルの多数の検出されると、攻撃者がシステムにインストールすることができます。
in.teは、telnet:UNIXシステムでは、通常、次のバイナリファイルはトロイの木馬に置き換えられますが
lnetd、ログインは、suは、ftpは、lsは、ps、netstatコマンド、ifconfigコマンド、検索、デュは、df、inetdとsyslogdをlibcの、同期、。加えて、また、すべての/ etc / inetd.confファイルの参照を確認する必要があるファイル、ネットワークとシステムのプログラムに重要な共有ライブラリファイル。
。。トロイの木馬は、いくつかのシステムファイル、ネットワーク接続のハンドルを交換します。
ファイルを変更することができるかどうかをいくつかのトロイの木馬プログラムが、同じタイムスタンプを持つ元のバイナリファイルとチェックサムで合計チェックサムが決定するために。したがって、UNIXシステムのために、私たちは、対応するを比較するために、メディア上のシステムのバイナリとソースのリリースファイルに直接のcmpプログラムを使用することをお勧め。
。バイナリファイルのMD5チェックサムのサプライヤーを入手リリースし、不審なチェックのバイナリファイルのMD5チェックサムを使用する。このメソッドは、UNIXおよびWindows NTに適用されます。
Bのシステム構成ファイルを確認してください
UNIXシステムでは、次のチェックを行う必要があります:
不審なユーザーを確認/ etc / passwdファイル
。
新しいsuidやSGIDファイルの確認。次のコマンドは、システムのすべてのSUIDされたとSGIDファイルが出力されます:
#find / ( -perm -o -perm ) -type f -print
NTの場合は、次の手順を確認する必要があります:
ブートログまたはレジストリエントリは、プロシージャが修正されたことを確認してください
非隠しファイルの合計を確認する"でnet share"コマンドとサーバ管理ツールを確認してください
チェックpulist.extは、プロセスを認識しません。
2。データを変更することは確認してください
侵入者は多くの場合、システム内のデータを変更する。。
侵入者は頻繁にするシステムを継続的に監視するシステムのいくつかのツールをインストールするに侵攻。
侵入者は通常、ファイルの種類は、次のシステムに残さ:
ネットワークは、スニファ
。侵入者は、多くの場合、ユーザー名とパスワードのクリアテキストの送信でネットワークを取得するネットワークスニファーを使用する。(C.5節を参照してください)
スニファは、UNIXシステムでは一般的です。
トロイの
トロイの木馬プログラムは、表面にいくつかの機能を実行することができ、実際に他の機能を実行する。。
自体はシステムに隠されていたバックドアの侵入、侵入者がシステムを入力することができますセキュリティ上の欠陥を悪用使用しないでください、それを介して、通常のシステムの検証を渡すことはできません。。
エクスプロイトのセキュリティ上の欠陥
ソフトウェアを実行しているシステムのセキュリティ上の欠陥は、そのは、侵略されての主要な原因である。。これらのツールは、通常、システムのままになります隠しディレクトリに格納されている。
侵入者によって使用されるその他のツール
ていない侵入ツールのすべてを含めて、上記の、攻撃者は、システム他の侵入ツールに残ることがあります。これらのツールが含まれます:
システムのセキュリティのための欠陥検出ツール
ホストコンピュータおよびネットワークリソース侵襲で使用してください
侵入ツールの出力
あなたが侵入ユーティリティのログファイルの一部が残したことがあります。。
したがって、私はあなたが上記のツールと出力ファイルを見つけるためにシステムの完全な検索を行う提案。検索処理ではなく、検索ツールを修正したコピーを使用して攻撃者:に注意を払う必要があります。
検索は、主に以下の方向に集中することができます:
は/ dev /ディレクトリ予期しないASCIIファイルをUNIXシステムを確認してください。いくつかのトロイの木馬のバイナリファイルは、構成ファイルは、通常、/ devディレクトリです。
。。
調べディレクトリとファイルのいくつかの非常に奇妙な名前は、例えば、3つのポイントは):...( 2つの点を),..(、空白(UNIXシステムでは)。侵入者はしばしばこのようなファイルのディレクトリの中に隠れる。NTの場合、あなたは非常にディレクトリとファイルへの接近していた名前といくつかのシステムファイルを確認してください。
システムログファイルの詳細なレビューは、システムが攻撃者が、操作を実行すると、リモートホストのホストにアクセスするには、侵略侵入プロセスをされている方法を学ぶことができます。この情報を使用して、侵略のより明確な理解を持つことができます。
注意:すべてのログファイル内のシステムが侵入者によって変更される場合があります。
UNIXシステムの場合は、場所を決定するために/ etc / syslog.confファイルを確認する必要があるかもしれませんが、ログ情報ファイル。NTは通常、各NTイベントは、1つのファイルに記録される3つのログファイルを、NTイベントログのすべて使用すると、イベントビューアを使用してログファイルを表示することができます。。
。お使いのシステムのシステム構成が可能性があるため、これらのファイルのいくつかではない。
messages
メッセージは、ファイルには、多くの情報を保存されているログ。このファイルは、例外メッセージから見つけることができますが、侵入物中に何が起こったかどうか確認する。
*** erlog
。この情報はあなたのシステムにどのようなツールをアップロードして侵入者を識別し、どのようなシステムから何かをダウンロードすることができます。
utmp
現在、バイナリ形式の使用は、ログオンユーザーごとに情報を保存。このファイルは、現在ログオンしているユーザーを特定することができます。情報を読み出すには、whoコマンドを使用する。
wtmp
。。。これは、ユーザー名、ログイン時間を含むテーブルを、ホスト名やその他の情報は、マニュアルNBSPはを使用することができます詳しい使い方によって開始された接続を出力する、最後のクエリを。あなたがこの効果を判断するのに役立つ、不審な接続をこのファイル内のレコードをチェックして侵入し、その内のアカウントは、される可能性が高いシステムを見つけることがホストの侵入を含む。
secure
セキュリティで保護されたファイルに記録されるには、tcp_wrappers情報:UNIXシステムでのこれらのバージョン(RedHat Linuxのような)いくつかの。。ログファイルをチェックすることによって、あなたは、一部の特殊なサービス要求を見つけることができるか、接続を開始したなじみのないホストから。
監査は、最も基本的ないずれかの異常をチェックすることです、ログ。
5。ネットワークスニファーを確認してください
侵入者は通常、システムまたはパケットスニファのスニファプログラムと呼ばれているネットワーク監視プログラムをインストールされるため、ユーザー名とパスワードの情報を得るために、UNIXシステムに侵入。。
。。するか、またはシステムを再起動する場合は、単一ユーザーモードで動作するように注意してください、それが無作為検出モードを検出しないことがあります。システムのネットワークインターフェイスを知ってifconfigコマンドを使用してpromoscuousモード(一部の侵入者がifconfigコマンドを使用して変更されていないことに注意してください)にあります:
#/path-of-clean-ifconfig/ifconfig -a
あなたはシステム内のsnifferプログラムを検出するのを助けることができるいくつかのユーティリティがあります:
ifstatusは - UNIXは、以下のアドレスからダウンロードすることができます:
するには、次のアドレスからneped.c:
promiscuousモードに設定されているネットワークインターフェイスされるいくつかの法的手続きやネットワーク監視プログラムのプロトコルを忘れないようにしてください。promicuousモードのネットワークインターフェイスで検出されたシステムはsnifferプログラムを実行されているわけではない。
。。
さて、LKMはは(可能カーネルモデル、ロード可能なカーネルモジュール)広く使用されても、検出の難しさを増加している。検出テストのこの局面では、ロード可能なカーネルモジュールの修能を使用するを参照してください。。
問題は、snifferプログラムのログファイルのサイズが大幅に増加することに留意する必要がありますもあります。。。lsofの使用は、プログラムのメッセージにアクセスするためにログファイルとアクセスデバイスを開くにスニファプログラムを検出オススメ。ここでは、我々は注意を払う必要があります:dfのプログラムを使用してもクリーンする必要があります。
いったんシステムのネットワークスニファプログラムを見つけ、私たちは、攻撃者によって脅かされているホストを決定するために、出力ファイルsnifferプログラムを確認することをお勧めします。snifferプログラムは、宛先ホストにパケットをキャプチャすることによって、システムパスワード、またはクリアテキストで送信されている場合、ターゲットホストは、送信元ホストの信頼は、送信元ホストは大きな脅威になりますが、攻撃される。
-- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)
% grep PATH: $sniffer_log_file | awk '{print $4}' |
awk -F( '{print $1}'| sort -u
。いくつかのスニファログファイルの暗号化プログラムのチェックの難しさを増加する。
あなただけでなく、スニファログファイルには、攻撃者がホストに表示される知っているはずだ、他のホストも脅かされる可能性があります。
私は、あなたが、より詳細な情報を取得するために参加をお勧め。
システムに加えて、侵襲的であることが知られていますが、あなたがネットワーク]チェック上のすべてのシステムする必要があります。またはいくつかの機構を介して:侵襲的検査では(nixの、NFSなど)、ネットワーク共有サービスを主なホストです(例:。hosts.equivファイル、Rhostsファイル、またはKerberosサーバ)と相互信頼のホストシステムに侵入され。
CERTは、あなたが侵入検知ステップ検査のチェックリストを使用することをお勧めします。
7。チェックするか、またはリモートサイトを含む脅かさ
。。。
DをCSIRTと他のサイトが関与していた通知
1。インシデントレポート
侵入者はしばしば、他のサイトへの攻撃を起動したり、侵入ホストするアカウントを使用して。。それらを教えることは侵略の兆候を発見し、彼らは、そのシステムが侵入されている確認することを、どのような保護を示唆。日付/タイムスタンプ、タイムゾーン、彼らは必要な情報を:彼らに、可能な限り、を含む、すべての詳細を伝えるために。
あなたは、彼らが若干の回復が示唆された場所から証明書(コンピュータ緊急対応チーム)インシデントレポートには、することもできます。
中国本土のWebサイトは:
。。次のURLを形成するインシデントレポートから入手することができます:
3。関係するサイトで連絡先情報を取得するには
あなたは(。com、。教育、ネット、組織など)の連絡先情報をトップレベルドメインが必要な場合は、私たちは、WhoisデータベースはInterNIC使用することをお勧め。
アジア太平洋地域、オーストラリアは、お問い合わせください、連絡先情報を取得する:
あなたは、他のインシデントレスポンスグループ、連絡先情報が必要な場合は、コンタクトリスト内の最初の(インシデント対応およびセキュリティチームのフォーラム)を参照してください:
その他の連絡先に関する情報については、を参照してください:
活動は侵略に関与すると、ホストに連絡することをお勧めは、ルートまたはpostmasterへの書き込みはありません。
e-mail。
常にホストが侵入されている場合を覚えて、システムの何かが変更された攻撃者が、可能であり、含まれております:カーネル、バイナリ実行可能ファイル、データファイル、実行中のプロセスとメモリ。通常、メディアは、オペレーティングシステムのリリースをインストールし、すべてのセキュリティパッチのインストール、バックドアの影響と攻撃者からのシステムを作成する唯一の方法は前に、ネットワークに再接続する必要があります。識別するために、修正悪用セキュリティ上の欠陥ですが足りない。
。その後、システムを再インストールする。
2。キャンセル不要なサービス
設定は、システムが必要のないものへのサービスをキャンセルするには、サービスのみを提供するために。チェックしていることを確認構成ファイルには、脆弱性とサービスの信頼性はありません。。
。
あなたが独自の情報システムのアップグレードとパッチのすべてに注意を払う必要があります。
4。アクセスCERTのセキュリティに関するアドバイス、セキュリティ、概要とサプライヤー安全に関する情報に
私たちはあなたは、CERTのセキュリティ勧告、以前とサプライヤの安全性のヒントの概要を参照するために奨励し、すべてのセキュリティをインストールしてくださいパッチは。
CERTのセキュリティの概要:
サプライヤーの安全性のヒント:
5。バックアップデータの慎重な使用
行い、バックアップからデータを復元することを確認バックアップホストが侵襲されていない。。。。
6。パスワードの変更
か、または構成の問題を解決するためにセキュリティ上の脆弱性を確認した後、私はあなたがすべてのアカウントに対してシステムパスワードを変更する提案。すべてのアカウントは簡単にパスワードを推測していないことを確認する必要があります。。
オーストラリアのCERTは、あなたが適切なパスワードを選択することができます適切なパスワードを選択して記事を掲載。
NBSPは、Fにシステムおよびネットワークのセキュリティを強化
1。安全性検査システムは、CERTは、UNIX / NTのConfiguration Guide』によれば、
CERTのUNIXは/ NTの設定ガイドを使用すると、侵入者には、問題の構成で脆弱なシステムをチェックすることができます。
。
。同時に、それは後に検査システムのための安全な場所にシステムファイルや他のツールのMD5チェックサムをチェックしてTripwireの補佐官を使用することをお勧めします。
3。ログインして開きます。
[スタート]ロギング(ログ)/検査では、(監査)/会計(会計)プログラム、およびsendmailのようにする必要がありますログを正しいレベルに設定してください9以上。。
4。ネットワーク防衛にファイアウォールを構成
今、ファイアウォールの設定について多くの記事ではなく、ここではそれらを一覧表示。また、参照することができます:
Gさんは、インターネットに再接続する
。
。各組織は、その独自の状況にセキュリティポリシーを指定する必要がある、独自の特別な文化やセキュリティのニーズを持って。この点についてはRFC2196サイトセキュリティハンドブックを参照してください:
1。学んだ教訓
。
2。事故の計算コスト
だけ高い価格を支払った後、多くの組織は、独自のセキュリティポリシーを向上させるために。事故の計算コストは、組織が安全の重要性を認識しやすくなる。しかし、また、管理者はどのように重要な安全性を認識することができます。
。。