Feltörték a szervert

Linux-kezdő

Sziasztok!

Egy olyan kérdésem lenne, hogy a napokban feltörték a szerverünket. Arra lettem figyelmes, hogy szólnak, hogy nem megy semmi. Újraindíttattam, majd bejelentkeztem puttyon keresztül, ahol meglepődve tapasztaltam, hogy egy másik hostról jelentkeztek be a gépre, akkor délután. A gépről az összes weboldal, és mysql adatbázis eltűnt, és még sok-sok file.

Természetesen a screenshot és logfileok megvannak. szeretnék feljelentést tenni, szerintetek ez vezet valahová? Fontos dolgokról van szó.. Illetőleg a gépet használhatom? A backup fileokat visszamásolhatom? vagy csak a feljelentés után? Vagy addig ne nyúljak hozzá?

Azon felül, hogy frissítem az egész rendszert Ubuntu 12.04-re milyen biztonsági beállításokat ajánlanátok? Milyen tűzfalat telepítsek?

Köszönöm a segítséget.

  • 6760 megtekintés

( gyrgyvrs | 2012. 06. 05., k – 12:31 )

Hát ez így elég kevés infó! Sokkal több dolgot leírhattál volna, mert így bízz meg egy jó rendszergazdát, garázspistike így járt stb válaszok jönnek majd. Eredeti rendszer, update-k, logban mit látsz ...stb kellene.

( n.balazs v | 2012. 06. 05., k – 12:44 )

Hát az ÍJ matricát felteheted a homlokodra.
Ha tényleg fontos dolgok voltak a gépen, akkor talán illett volna úgy beállítani a gépet, hogy nehezen feltörhető legyen (a naplók 2 független helyre kerüljenek, legyen egy blackbox, amiből az adott szolgáltatások nem léphetnek ki, megfelelő jelszó policy kerüljön alkalmazásra, ne legyen felesleges szolgáltatás a szerveren, rendszeres monitorozás, fájlok integritásának ellenőrzése stb).
Ilyenkor a standard eljárás a rendszer teljes lekapcsolása. Tehetsz feljelentést a rendőrségen, de sok jóra ne számíts. Screenshot nem számít érdemi bizonyítéknak. Ők is a naplókból fognak kiindulni, kérni fognak egy disk imaget. Ha a napló nem részletes/pontos + még a szolgáltató se naplózza rendesen a hálózati forgalmat, akkor keresztet vethetsz rá.
A tűzfal pedig nem egyedüli és üdvözítő megoldás. Ha segítség kell a beállításban, akkor szívesen segítek.

( Breaknet | 2012. 06. 05., k – 12:43 )

Nem hiszem, hogy a feljelentés vezetne valahová, de ne legyen igazam. Ha biztonságra vágysz, akkor egy tapasztalt, hozzáértő személy konfigurálja a szervert.

( andrej_ v | 2012. 06. 05., k – 12:48 )

"Azon felül, hogy frissítem az egész rendszert Ubuntu 12.04-re milyen biztonsági beállításokat ajánlanátok? Milyen tűzfalat telepítsek?"

Az első lépés az lenne, hogy megtudd hogyan jöttek be. Mert ha mondjuk full accot adtál, amit FTP-vel is elérnek és az SSH-nál legalább az allowusers-t nem hangoltad akkor hiába tűzfalazol.

( tmms v | 2012. 06. 05., k – 12:57 )

//troll on

"Egy olyan kérdésem lenne, hogy a napokban feltörték a szerverünket."

Igen, és mi a kérdés? :) Vagy ez se nem kérdés, se nem kijelentés, vagy ezmiez category.

//troll off

Szerintem sem fognak foglalkozni a rendőrségen ezzel. :/

( Erendis42 | 2012. 06. 05., k – 13:31 )

szerinted ha merő jófejségből segít egy külsős felrakni az új mindent az mennyire összeegyeztethető pl. egy titoktartási nyilatkozattal? mert szerintem semennyire.

szerk.: amúgy ez így kicsit svájcibicskának hangzik, hogy értsél egyszerre mindenhez. nem könnyű eset.

( Ago | 2012. 06. 05., k – 13:43 )

Kb ott halt el a dolog, hogy frissítettél, az azonnali konnektorból kihúzás, majd teljes merevlemez tartalom imagelés helyett, pl FTK-val, linennel, stb. amit el is fogadnak hatóságok, vagy magadnak egy hiteles CA által kiadott certhez tartozó kulccsal aláírt dd imagevel.
A logok nagy részben elvesztek, annyit tehetsz, hogy megnézed honnan jönnek be, bár valszeg másik ugródeszkáról.
Kb ennyi.

A rendőrségi nyomozáshoz annyit tennék hozzá, hogy minket megkerestek jó egy éve, vagy több, hogy adott gép kihez tartozik nálunk stb. Egy csaláshoz kapcsolódó hirdetést adtak fel egy hirdetési portálon, mint kiderült minket azért kerestek meg - egy szerver volt a gép, amit kerestek -, mert az általuk _gondolt_ időpontban, amikor felkerült a cucc, a logokban mi voltunk magyar IP címtartományból..... az, hogy mondjuk mail logban találják meg az ip-t pl nem volt érdekes.... meg milyen böngésző van a gépen... leírtam, hogy ez szerver, no grafikus felület, böngészőből pedig maximum w3m, vagy lynx, illetve curl, és wget... itt ért véget a beszélgetésünk, és a nyomozás... jah, és ezt 6 hónappal később kérték, mint az esemény volt, csak sokáig tárolunk naplókat, de azt hiszem ez mindent elmondott a kompetenciáról...

"teljes merevlemez tartalom imagelés helyett, pl FTK-val, linennel, stb. amit el is fogadnak hatóságok, vagy magadnak egy hiteles CA által kiadott certhez tartozó kulccsal aláírt dd imagevel"

Felesleges, elotte ugy is azt csinalsz vele, amit akarsz. Ha feljelentes lesz, es egyaltalan eljut odaig a dolog, akkor a sunok jonnek, es hoznak szakertot, aki image-el meg papirozik.

--
"You're NOT paranoid, we really are out to get you!"

( gyko v | 2012. 06. 05., k – 13:52 )

Mindegy, hogy vezet-e eredményre tegyél feljelentést, mert ha a betörő nem csak ennyit csinált, hanem mondjuk a gépedről indulva megpróbált máshova is bejutni és ott a te IP cimed jelenik meg a logokban akkor megkérdezhetik mit is csináltál... Másrészt ha másnak a dolgai voltak a gépeden akkor is jobb ha hivatalos nyoma marad az esetnek. Valamennyire fedd le magad, legyen nyoma.

A backup fileokat visszamásolhatom? Én a helyedben a HDD-t kivenném az utókornak, új HDD-re friss telepités és arra mehet minden vissza, de jól beálliva. Mindenképp új telepítés javasolt, ha nem vagy biztos a rendszer integritásában.

Milyen tűzfalat telepítsek? Ugye nem azt akarod mondani, hogy nem volt tűzfal? :S Legalább iptables + fail2ban, tripwire legyen rajta...

( maszili | 2012. 06. 05., k – 14:20 )

Arra én is kíváncsi lennék, hogy ha ilyen esetekben megvan a behatolás módszere és megvan az IP ami pl. kínai akkor a magyar hatóságok mit tudnak tenni?

--
maszili

Sajnos túl sok mindent nem tehetnek. Ilyenkor elindul egy bonyolult jogsegély folyamat, akár nemzetközi nyomozással egybekötve. Sajnos több papírt és nyomozati időt köt le az egész folyamat, mint amekkora eredménnyel zárulhat. Ennek elsődleges oka a jog és eljárásrend lemaradása a technikai lehetőségekhez képest.

( wyx v | 2012. 06. 05., k – 15:19 )

Mi volt a régi rendszer? Mi futott rajta, stb.

( janoszen v | 2012. 06. 05., k – 15:31 )

:szomoru sohaj: Sajnos az elottem szolok mar megmondtak, nincs szent gral, nincs egy mindent tudo tuzfal, ami anelkul megvedene a szerveredet, hogy Neked barmilyen szinten is foglalkozni kelljen vele. Barmelyik alkalmazasban lehet biztonsagi luk, barmelyik szoftvered fel lehet ugy konfiguralva, hogy azon kereszul be tudjanak jonni. Ezt a tuzfal nem fogja megakadalyozni, mert ha publikus szolgaltatast tamadnak meg, akkor azt a tuzfal at fogja engedni. Sajnos az a szomoru helyzet, hogy meg kell tanulnod a Linuxot rendesen hasznalni, meg kell tanulnod, hogy mukodik az egesz koceraj es biztonsagi szemlelettel kell tudnod a gepedre nezni.

( ncc1701 | 2012. 06. 05., k – 15:46 )

Ilyenkor kapásból ki kell kapcsolni a gépet, ha szerverparkban van, akkor behozni lokálba, lementeni, amit kell, újrahúzni, közben rájönni, hogyan jöttek be, és ez ellen a megfelelő lépéseket megtenni. Majd eztán visszavinni a szerverparkba a gépet.

( vector | 2012. 06. 05., k – 15:51 )

Nem tudom mi változott az elmúlt években, de én 5 éve tettem feljelentést a rendőrségen "illetéktelen behatolás" és károkozás címen. Mellékeltem az összes naplófájlt, előző állapotról készült képernyőmentést, stb. de a "szakértő" kimondta, hogy nem történ ilyen. Egyszer sem sikerült bejutnom és beszélnem sem a "szakértővel" sem a vizsgálatot vezető(?) személlyel. Az ügyet szó szerint dobták. Mi lett volna ha hasonló esetben akartam volna feljelentést tenni? Nem tudom elképzelni, hogy ma Mo-on egy átlag embernek a nyűgjével bárki is foglalkozna, pláne mikor elektronikus bűnözésről van szó....

-------------------------------------------------------------------------------------------
Mit használok? Na, na, na? Hát blackPanther OS v11.1-et * www.blackpanther.hu

Nekünk anno 2 windows szervert nyomtak fel, azóta sem tudjuk, hogyan. Onnantól kezdve viszünk ki ilyesmit úgy, h linuxon, virtualizálva, azóta nem volt gond. Igaz, iptablesban engedélyezve van kb 3-4 IP cím, ahonnan be lehet rá lépni. Szerencsére nem publikus dolgok futnak rajtuk.

( legyes | 2012. 06. 06., sze – 08:44 )

Hát, sok szerencsét a behatolók megtaláláshoz.

Sajnos én is láttam már MSSQL-be ServU FTPd-t települni, IRC bouncerbe dropbeart, nem is beszélve a sok-sok-sok webszerverre visszavezethető trükkről/bajságról.

De elég gyakori hiba hogy az Apacs+PHP+MySQL túl magas jogokkal fut, elég egy fájlfeltöltési lehetőség és kész a baj. Nem kell komoly dolog, mondjuk egy Wordpress vagy csak egy sima CKeditor komponens. Nem feltétlenül kell olyan fájlnév kiterjesztést keresni, ami ".sh" vagy ".php", ... hisz' sima jpg képből is lehet pl. php scriptet futatni :(

( zeller | 2012. 06. 06., sze – 08:44 )

Nulladik lépés: konnektorból és hálózatból kihúz, Read-only médiáról (CD, DVD) bebootol, másik diszkre teljes mentés megcsinál (Ide teljesen jó a dd), majd az így kreált diszkimage-et addig faggatod, amíg ki nem derül (ha egyáltalán...), hogy honnan, min keresztül, hogyan és mikor mentek be.
Első blikkre ezekre a megmaradt infókból nem fogsz tudni válaszolni, de az ügy ránézésre azért annyira nem reménytelen: Végiggondolod, hogy milyen szolgáltatások, milyen webes tákolt-mókolt-péhápépistike vicikvacakok voltak felrakva, elérhetővé téve, milyen beállításokkal, milyen verziókkal, és végigzongorázod, hogy melyik (vagy melyik kupac) lehetett a lukas.
Aztán elolvasol néhány folyóméter (polchosszban mérve) hardening doksit, és utána rájössz, hogy általános érvényű megoldást nem fogsz találni feltörés ellen, de jó ötleteket, illeve best practice dolgokat igen - ahogy már itt is olvashattál jópárat.

( Szenti v | 2012. 06. 06., sze – 10:43 )

subscribe, mert érdekelnek mások tapasztalatai a témában

( molti | 2012. 06. 06., sze – 13:04 )

Mindenképp feljelentést tennék, függetlenül a várható eredményességtől. A többi szakmai részt már ismertették.

Feljelentést érdemes megtenni, bár az eredményessége finoman szólva kétséges. A bizonyítási folyamattal kapcsolatban (http://cert.hu/images/stories/incidensek/Windows_forensics.pdf):

A számítógépes törvényszéki eljárások két fő témakörre helyezik a hangsúlyt:
1. bírósági bizonyító eljáráshoz szükséges és elfogadott módszerek
2. az eljáró azon igénye, hogy elkerülje az ellene, vagy az általa képviselt szervezet ellen irányuló jogi lépések lehetőségét.

"Csak az vonható eljárás alá, ami elérhető, tehát a megfelelően felülírt, törölt vagy más okból elérhetetlen adatok nem vonhatók eljárás alá."
"Igazságügyi eljárás esetében az eredeti adathordozóról készült másolat kerül tárolásra, és az eredeti eszköz kerül vizsgálatra!"

Az első lépés a teljes másolat hiteles elkészítése (dd), másolat megfelelőségét (ugyanaz, mint az eredeti) és sértetlenségét (nem változott meg) hash algoritmussal tudjuk biztosítani.

Ha már hozzányúltál nem használható fel bizonyítékként, ha esetleg még nem, akkor pedig a rendőrség viszi el mint bizonyítékot (évekre kiesik az eszköz), ha ez bevállalható, akkor gépet le, másolat készítés saját részre, majd feljelentés .

--
Kis problémából egy kis munkával nagy problémát lehet gyártani. Ha valami müxik ne b***tasd :)
Uriember az, aki nem beszél a Windows-ról, pedig tudna...