I server cloud possono essere compromessi da vari fattori:password deboli, tabelle IP deboli, versioni software precedenti con exploit noti e così via.
Se il tuo server cloud è stato compromesso, niente panico. Il panico porta a decisioni sbagliate, che potrebbero peggiorare la situazione. Cerca invece di capire cosa è successo e assicurati che il tuo server cloud non venga nuovamente compromesso allo stesso modo. L'obiettivo di questo articolo è aiutarti a imparare dai tuoi errori ed evitare di ripetere gli stessi errori.
Questo articolo descrive alcune tecniche e strumenti che puoi utilizzare per esaminare i tuoi server se sospetti che siano stati compromessi. È necessario utilizzare questi strumenti prima di passare alla modalità di ripristino (consultare Verifica di una compromissione della sicurezza:Indagine sulla modalità di ripristino per ulteriori informazioni sulla modalità di ripristino). Il server cloud utilizzato per questo articolo esegue Ubuntu® 8.10. Tuttavia, i passaggi illustrati sono simili per altre distribuzioni Linux®.
Avviso importante
Prima di procedere, è necessario prendere una decisione importante. Intende coinvolgere le forze dell'ordine e perseguire l'aggressore? Se lo fai, lascia il sistema compromesso da solo e non apporta modifiche ad esso. Qualsiasi modifica apportata dopo l'attacco potrebbe contaminare le prove e complicare l'indagine. Per questo motivo, una politica comune consiste nello spegnere un sistema dopo che è stata rilevata una compromissione e lasciarlo spento fino a quando le forze dell'ordine non sono pronte a indagare.
Controlla le connessioni di rete
Inizia la tua indagine controllando le connessioni di rete del tuo server cloud.
Usa netstat -an comando, che produce un output simile all'esempio seguente, per verificare la presenza di eventuali backdoor aperte sul server cloud.
netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 284 1.2.3.4:6697 5.6.7.8:34506 ESTABLISHED
In questo esempio, la porta 6697 è aperta. Questa porta è comunemente usata dai server IRC (Internet Relay Chat). A meno che tu non stia utilizzando il tuo server di chat, questo non è un buon segno. Puoi scoprire qualsiasi connessione a quella porta usando il seguente tcpdump comando:
tcpdump src port 6697
Questo comando cattura tutti i pacchetti con la porta di destinazione 6697.
Usa lsof
Molti sistemi basati su UNIX® utilizzano i file list open (lsof ) utilità della riga di comando per segnalare un elenco di tutti i file aperti e dei processi che li hanno aperti. Per impostazione predefinita, Linux tratta tutto, inclusi i dispositivi, come un file. Questo rende lsof uno strumento molto potente.
Non tutte le macchine virtuali (VM) hanno lsof installato per impostazione predefinita, quindi potrebbe essere necessario installarlo utilizzando yum o apt-get se vedi la seguente risposta:
-bash: lsof: command not found
Ad esempio, puoi utilizzare lsof per vedere quale utente ha un particolare file aperto:
sudo lsof /etc/passwd
Se scopri il nome utente sotto il controllo dell'intruso, puoi utilizzare lsof per visualizzare tutti i processi in esecuzione dell'intruso:
sudo lsof -u hisUserName
lsof ti aiuta anche a controllare le connessioni di rete. È importante esaminare vari aspetti del tuo server cloud con più strumenti perché se sospetti che il sistema sia compromesso, non puoi essere sicuro di quali comandi forniranno risultati affidabili. Inoltre, lsof fornisce alcune opzioni che netstat no.
Per elencare tutti i socket IP (Internet Protocol) aperti associati al server Secure Shell (SSH) del tuo server cloud, esegui il comando seguente:
sudo lsof -i:22
Riepilogo
In questo articolo, hai appreso alcune tecniche per scoprire le backdoor e tracciare gli intrusi sul tuo server. Queste tecniche ti aiutano a evitare di ripetere qualsiasi situazione o errore abbia portato al compromesso, quindi è meno probabile che tu venga violato di nuovo allo stesso modo. Nel prossimo articolo, Verifica di una compromissione della sicurezza:indagine in modalità di salvataggio, imparerai come esaminare il tuo server cloud in modalità di ripristino.