Recentemente eu tenho a oportunidade de trabalhar com determinados servidores hackeados que está comprometida devido à má administração. Como sabemos Heartbleed. Shellshock e poodle ataque são lançados recentemente.

1. Vulnerabilidade Heartbleed – devido a buggy Openssl relase – resolvido por atualizar o pacote para o mais recente
2. Shellshock: uma exceção buggy e escondida do shell do bash que encontrou ultimamente – resolvida atualizando a última versão do bash
3. Poodle ataque : bug escondido encontrado na versão SSLv3 – resolvido por desativar SSLv3 suporte em webservers, bem como para navegadores web.

Na maioria das vezes vemos que determinados arquivos indesejados estão sendo executados na memória que hackers executaram. No primeiro eu quero saber em que usuário que o programa está sendo usado para.

1. Execute o comando superior
Ver o processo em execução. Verifique a carga da CPU, espaço livre em disco e usuage RAM.

#topo

Tomcat-hack2

A tela acima mostra que o comando “txma” está sendo executado no usuário webapp que é criado para Tomcat “processo. Isso mostra que os hackers usaram vulnerabilidades de segurança do Tomcat ou que os aplicativos hospedados no Tomcat estão comprometidos. Isso pode ser uma codificação escrita pobre, eles estão usando bibliotecas desatualizadas ou conhecidos framework java desatualizado aqueles que têm buracos de segurança graves.

2. Liste os arquivos abertos pelos hackers

Em seguida, eu preciso saber quais bibliotecas e arquivos são abertos por este programa “txma”. Então eu uso o comando ‘lsof’.

#lsof | Grep “txma”

Essa vez eu vejo que eles estão estabelecendo conectividade de saída com outros servidores.

$ Lsof | Grep “txma” | Grep “27.255.66.175”
Txma 2944 webapp 3u IPv4 267098 0t0 TCP ip-172-31-20-172.ap-sudeste-1.compute.internal: 50395-> 27.255.66.175:10771 (SYN_SENT)
-bash-4.1 $

Quando eu abrir o IP no servidor web vejo que eles estão usando o servidor de arquivos HFS para compartilhar os arquivos que podem ser usados para hacking.

3. Listando a atividade da porta no servidor.
Execute este comando
uma. Para comunicação TCP netstat -atnpc | Grep ESTA
B. Para a comunicação UDP ataque DNS netstat-aunpc | Grep ESTA

Este comando será útil para identificar quais portas são usadas atualmente e listar o programa usado pela porta. Para que possamos identificar os programas ea rede de destino que estamos acessando ou conectando.Hack-process-3

4. Como encontro a localização do programa de hackers

Ls -l / proc / “proess id” / exe

ID do processo será obtido do comando superior

5. Lista do processo iniciado por esse programa.

Ps aux | Grep “txma”

.

6. Encontre um programa em nosso servidor

Find / -type f -iname “txma”

7. Verifique o diretório inicial do usuário e encontre os arquivos copiados.
Hackers geralmente mudou o carimbo de data / hora dos arquivos que eles foram usados.
Tomcat-hack

8. Listar o número. Processo que o usuário está sendo executado.

Ps -efl | Grep “txma”

9. Encontre todos os arquivos usados para esse programa

Pstree webapp

10. Bloquear todo o tráfego de saída

Eu costumava permitir o tráfego de saída a partir da porta 80,443,25,587 de servidores web e bloqueado todas as outras portas. Desta vez, sabemos o valor dos grupos de segurança AWS. Eles tornam simples. Caso contrário, você precisará usar o iptables para o mesmo. Eu usei firewall apf em determinado sistema para fazer isso.

11. Limitar o acesso de entrada

Muito provavelmente você precisa abrir apenas a porta 80 (a maioria dos sites) e 443 se eles usam ssl. Você pode bloquear todas as outras portas do público. Eu costumava abrir ftp, acesso ssh apenas para o meu IP do escritório e da rede onde eu estou acostumado a conectar a Internet.

Anúncios