查找被黑客攻击的服务器是如何被攻击的

Question

我只是浏览了一下网站，发现了一个问题：我的服务器被黑客入侵。基本上问题是:我的服务器被黑了。我该怎么办？

最佳答案是优秀的，但它在我的脑海中提出了一些问题。建议的步骤之一是：

检查“受攻击”系统，了解这些攻击是如何成功地危及您的安全的。尽一切努力找出攻击的“来源”，以便您了解您有哪些问题，并需要解决哪些问题，以确保您的系统在未来的安全。

我没有做任何系统管理工作，所以我不知道我将如何开始这样做。第一步是什么？我知道您可以查看服务器日志文件，但作为攻击者，我要做的第一件事就是删除日志文件。你如何“理解”攻击是如何成功的？

Answer 1

我首先要说的是，如果您没有日志文件，那么您很有可能永远不知道攻击在何处或如何成功。即使有完整和适当的日志文件，也很难完全理解谁、什么、地点、时间、原因和方式。

因此，知道日志文件有多重要，您就开始了解保存日志文件的安全性。这就是为什么企业会投资安全信息与事件管理或SIEM，而且应该投资。

简而言之，将所有日志文件关联到特定事件(基于时间或其他方式)可能是一项非常艰巨的任务。如果您不相信我的话，只需看看处于调试模式的防火墙系统日志。那只是来自一个电器！SIEM进程将这些日志文件放入一系列逻辑事件中，从而使了解所发生的事情更容易理解。

为了开始更好地理解渗透方法，学习它是很有帮助的。

了解病毒是如何编写的也很有帮助。或者如何编写rootkit。

它也非常有益于建立和研究一个蜜罐蜜罐。

它还有助于拥有一个日志解析器，并与它一起成为精湛。

收集网络和系统的基线是很有帮助的。什么是“正常”交通在你的情况下与“不正常”交通？

CERT有一个很好的指南，说明在你的计算机被黑客攻击后该怎么做，最值得注意的是(这与你的具体问题直接相关)“分析入侵”一节：

• 查找对系统软件和配置文件的修改。
• 查找对数据的修改
• 寻找入侵者留下的工具和数据
• 检查日志文件
• 寻找网络嗅探器的迹象
• 检查网络上的其他系统
• 在远程站点检查涉及或受影响的系统

在SF上有许多类似于您的问题：

1. 如何对服务器黑客进行事后分析
2. 主机文件和Netstat中的奇怪项
3. 这是黑客企图吗？
4. 我如何从黑客或安全的角度来学习Linux？

这可能是一个极其复杂和复杂的过程。大多数人，包括我在内，如果涉及到比我的暹粒电器还多的东西的话，就会雇一名顾问。

而且，很显然，如果你想完全了解你的系统是如何被黑客入侵的，你就得花几年的时间在研究它们上放弃女人。

Answer 2

这一点的答案可以是一百万英里宽和高，而解开一个被黑客攻击的服务器所发生的事情几乎和其他任何事情一样是一种艺术形式，所以我将再次给出起点和例子，而不是一组明确的步骤来遵循。

要记住的一件事是，一旦您遇到了入侵，您就可以对代码、系统管理/配置和过程进行审计，同时知道那里肯定存在缺陷。这比寻找理论上的弱点更有助于激励动机，理论弱点可能存在，也可能不存在。很多时候，如果我们有时间的话，人们会把代码放到网上，而知道代码可能会被审计得更难一些；或者，如果不是那么麻烦的话，系统就会被更牢固地锁定；或者程序会变得更紧一些，如果不是老板记住长密码的麻烦就好了。我们都知道我们最可能的弱点在哪里，所以从这些开始。

在一个理想的世界中，您将有一个不同的(希望不会被破坏) 赛斯洛服务器上存储日志，不仅是从服务器，而且从任何防火墙，路由器，等等，也记录流量。也有像内苏斯这样的工具可以分析一个系统并找出弱点。

对于来自第三方的软件/框架，您通常可以使用最佳实践指南来审核您的部署，或者您可能会更多地关注安全新闻和修补计划，并发现一些可能已经使用的漏洞。

最后，大多数入侵者都会留下假情报.如果你有时间和耐心去找到它。使用黑客工具包的脚本、孩子入侵或非法侵入倾向于关注常见的弱点，并会留下一个指向正确方向的模式。最难分析的事情可能是手动入侵(例如，有人不想黑“一个”网站，而是想专门黑“你的”网站)，这些当然是最重要的事情要理解。

对于那些真的不知道该从哪里开始的人(甚至是那些有经验的人，他们有其他的职责)，第一步可能是雇佣一个对上述步骤有很好经验的人。这种方法的另一个好处是，他们将看到你的设置，而没有任何先入为主的想法或个人利益的答案。

Answer 3

“我知道您可以查看服务器日志文件，但作为攻击者，我要做的第一件事就是删除日志文件。”

根据危害类型的不同，攻击者可能在受损服务器上没有足够高的权限来擦除日志。最好的做法是将服务器日志保存在另一台服务器上，以防止篡改(在某些时间间隔自动导出)。

除了受损的服务器日志之外，还有来自目录服务的网络日志(防火墙、路由器等)和身份验证日志，如果有目录日志(Active、RADIUS等)

因此，查看日志仍然是可以做的最好的事情之一。

在处理受损的盒子时，筛选日志始终是我拼凑所发生的事情的主要方法之一。

-Josh