[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]
如果您在攻击发生时身处现场,您的首要反应应该是将机器从网络中移除,方法是拔掉网卡(如果这不会对任何业务交易产生不利影响)。在第 1 层禁用网络是将攻击者真正排除在受损主机之外的唯一方法(Phillip Hofmeister 的明智建议)。
然而,rootkit、特洛伊木马以及甚至通过后门连接的恶意用户安装的一些工具,可能能够检测到此事件并对其做出反应。当您从系统中拔下网络连接时,看到执行 rm -rf / 并不是什么有趣的事情。如果您不愿意承担风险,并且您确定系统已受损,您应该拔掉电源线(如果有多根电源线,则全部拔掉)并祈祷。这可能很极端,但实际上可以避免入侵者可能已编程的任何逻辑炸弹。在这种情况下,受损的系统不应重新启动。应该将硬盘驱动器移动到另一台系统进行分析,或者您应该使用其他介质(CD-ROM)来启动系统并对其进行分析。您不应该使用 Debian 的救援盘来启动系统,但您可以使用安装盘提供的 shell(记住,Alt+F2 将带您进入 shell)来分析 [73] 系统。
恢复受损系统最推荐的方法是使用带有所有您可能需要的工具(和内核模块)的 CD-ROM 上的 live-filesystem。您可以使用 mkinitrd-cd 软件包来构建这样的 CD-ROM [74]。您可能会发现 FIRE(以前称为 Biatchux)CD-ROM 在这里也很有用,因为它也是一个带有取证工具的 live CD-ROM,在这些情况下很有用。目前还没有(尚未)基于 Debian 的此类工具,也没有一种简单的方法可以使用您自己选择的 Debian 软件包和 mkinitrd-cd 来构建 CD-ROM(因此您必须阅读随附的文档才能制作自己的 CD-ROM)。
如果您真的想快速修复妥协,您应该将受损主机从您的网络中移除,并从头开始重新安装操作系统。当然,这可能不是有效的,因为您不会了解入侵者最初是如何获得 root 权限的。对于这种情况,您必须检查一切:防火墙、文件完整性、日志主机、日志文件等等。有关在入侵后应采取的更多信息,请参阅 CERT 的从 UNIX 或 NT 系统妥协中恢复的步骤 或 SANS 的 事件处理白皮书。
关于如何处理受损的 Debian GNU/Linux 系统的常见问题,也可在 我的系统是脆弱的!(你确定吗?),第 12.2 节 中找到。
请记住,如果您确定系统已受损,您就不能信任已安装的软件或它返回给您的任何信息。应用程序可能已被植入木马,可能已安装内核模块等。
最好的做法是从安全介质启动后进行完整的文件系统备份副本(使用 dd)。Debian GNU/Linux CD-ROM 在这方面非常方便,因为它们在安装开始时在控制台 2 中提供了一个 shell(使用 Alt+2 并按 Enter 键跳转到它)。从这个 shell 中,如果可能,将信息备份到另一台主机(可能是通过 NFS/FTP 的网络文件服务器)。然后可以在受影响的系统离线时执行对妥协的任何分析或重新安装。
如果您确定唯一的妥协是特洛伊木马内核模块,您可以尝试在救援模式下从 Debian CD-ROM 运行内核镜像。确保在单用户模式下启动,这样在内核之后就不会运行其他特洛伊木马进程。
CERT(计算机应急响应小组)是一个可以帮助您从系统妥协中恢复的组织。世界各地都有 CERT [75],如果发生导致系统妥协的安全事件,您应该联系您当地的 CERT。您当地 CERT 的人员可以帮助您从中恢复。
即使您不寻求帮助,向您当地的 CERT(或 CERT 协调中心)提供有关妥协的信息也可以帮助其他人,因为报告事件的汇总信息用于确定给定的漏洞是否被广泛使用,是否有新的蠕虫病毒传播,正在使用哪些新的攻击工具。此信息用于向 Internet 社区提供有关 当前安全事件活动 的信息,并发布 事件记录 甚至 公告。有关如何(以及为什么)报告事件的更详细信息,请阅读 CERT 的事件报告指南。
如果您需要帮助从妥协中恢复或想讨论事件信息,您也可以使用不太正式的机制。这包括 incidents 邮件列表 和 Intrusions 邮件列表。
如果您希望收集更多信息,tct(Dan Farmer 和 Wietse Venema 的 The Coroner's Toolkit)软件包包含执行系统事后分析的实用程序。tct 允许用户收集有关已删除文件、正在运行的进程等信息。有关更多信息,请参阅随附的文档。在 Brian Carrier 的 Sleuthkit 和 Autopsy 中可以找到这些相同的实用程序和一些其他实用程序,它为磁盘映像的取证分析提供了 Web 前端。在 Debian 中,您可以找到 sleuthkit(工具)和 autopsy(图形前端)。
请记住,取证分析应始终在数据的备份副本上完成,绝不在数据本身上完成,以防数据在分析过程中被更改并且证据丢失。
您将在 Dan Farmer 和 Wietse Venema 的 取证发现 书籍(在线提供)以及他们的 计算机取证专栏 和他们的 计算机取证分析课程讲义 中找到更多关于取证分析的信息。Brian Carrier 的新闻通讯 The Sleuth Kit Informer 也是关于取证分析技巧的非常好的资源。最后,Honeynet 挑战 是磨练您的取证分析技能的绝佳方法,因为它们包括针对蜜罐系统的真实攻击,并提供从磁盘取证分析到防火墙日志和数据包捕获的各种挑战。
FIXME:本段有望在未来提供更多关于 Debian 系统中取证的信息。
FIXME:讨论如何在稳定系统上使用 CD 上的 MD5sums 和在单独分区上恢复的文件系统执行 debsums。
FIXME:添加指向取证分析论文的指针(如 Honeynet 的逆向挑战或 David Dittrich 的论文)。
Debian 发行版中提供的一些其他可用于取证分析的工具是
strace.
ltrace.
这些软件包中的任何一个都可用于分析恶意二进制文件(例如后门),以确定它们的工作方式以及它们对系统执行的操作。其他一些常用工具包括 ldd(在 libc6 中)、strings 和 objdump(都在 binutils 中)。
如果您尝试对从受损系统检索到的后门或可疑二进制文件进行取证分析,您应该在安全的环境中进行(例如在 bochs 或 xen 映像中,或使用权限较低的用户 [76] 的 chroot 环境)。否则,您自己的系统也可能被植入后门/获取 root 权限!
如果您对恶意软件分析感兴趣,那么您应该阅读 Dan Farmer 和 Wietse Venema 的取证书籍的 恶意软件分析基础 章节。
[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]
Debian 安全手册
版本:3.13,Sun, 08 Apr 2012 02:48:09 +0000jfs@debian.org