Je soupçonne qu'un ou plusieurs de mes serveurs sont compromis par un pirate informatique, un virus ou un autre mécanisme:
Ceci est censé être un article canonique pour ce sujet. à l'origine de serverfault .
À l'origine de serverfault.Merci à Robert Moir (RobM)
Il est difficile de donner des conseils spécifiques à partir de ce que vous avez publié ici, mais j'ai quelques conseils génériques basés sur un post que j'ai écrit il y a longtemps alors que je pouvais encore être dérangé pour bloguer.
Tout d'abord, il n'y a pas de "solution rapide" autre que la restauration de votre système à partir d'une sauvegarde effectuée avant l'intrusion, et cela a au moins deux problèmes.
Cette question continue d'être posée à plusieurs reprises par les victimes de pirates informatiques s'introduisant dans leur serveur Web. Les réponses changent très rarement, mais les gens continuent de poser la question. Je ne sais pas pourquoi. Peut-être que les gens n'aiment tout simplement pas les réponses qu'ils ont vues en cherchant de l'aide, ou ils ne peuvent pas trouver quelqu'un en qui ils ont confiance pour leur donner des conseils. Ou peut-être que les gens lisent une réponse à cette question et se concentrent trop sur les 5% des raisons pour lesquelles leur cas est spécial et différent des réponses qu'ils peuvent trouver en ligne et manquent les 95% de la question et de la réponse lorsque leur cas est assez proche de la même manière comme celui qu'ils lisent en ligne.
Cela m'amène à la première pépite d'informations importante. J'apprécie vraiment que vous soyez un flocon de neige unique et spécial. J'apprécie que votre site Web soit également un reflet de vous et de votre entreprise ou, à tout le moins, de votre travail acharné pour le compte d'un employeur. Mais pour quelqu'un à l'extérieur qui regarde, que ce soit un responsable de la sécurité informatique qui regarde le problème pour essayer de vous aider ou même l'attaquant lui-même, il est très probable que votre problème sera au moins à 95% identique à tous les autres cas qu'ils ont jamais regardé.
Ne prenez pas l'attaque personnellement, et ne prenez pas personnellement les recommandations qui suivent ici ou que vous recevez d'autres personnes. Si vous lisez ceci après avoir été victime d'un piratage de site Web, je suis vraiment désolé et j'espère vraiment que vous pourrez trouver quelque chose d'utile ici, mais ce n'est pas le moment de laisser votre ego vous empêcher de faire ce dont vous avez besoin. faire.
Vous venez de découvrir que vos serveurs ont été piratés. Et maintenant?
Ne paniquez pas. N'agissez absolument pas à la hâte et n'essayez absolument pas de prétendre que les choses ne se sont jamais produites et de ne pas agir du tout.
Premièrement: comprenez que la catastrophe s'est déjà produite. Ce n'est pas le moment du déni; c'est le moment d'accepter ce qui s'est passé, d'être réaliste à ce sujet et de prendre des mesures pour gérer les conséquences de l'impact.
Certaines de ces étapes vont faire mal, et (à moins que votre site Web ne contienne une copie de mes coordonnées), je m'en fiche vraiment si vous ignorez tout ou partie de ces étapes, mais cela améliorera les choses à la fin. Le médicament peut avoir un goût horrible, mais vous devez parfois l'oublier si vous voulez vraiment que le remède fonctionne.
Empêchez le problème de devenir pire qu'il ne l'est déjà:
Quelle que soit la gêne de vos clients de vous faire parler d'un problème, ils seront bien plus agacés si vous ne le leur dites pas, et ils ne le découvriront qu'après que quelqu'un aura facturé 8 000 $ de marchandises en utilisant les détails de leur carte de crédit volé sur votre site.
Rappelez-vous ce que j'ai dit précédemment? La mauvaise chose est déjà arrivée. La seule question qui se pose maintenant est de savoir comment vous y parvenez.
Comprenez parfaitement le problème:
Pourquoi ne pas simplement "réparer" l'exploit ou le rootkit que vous avez détecté et remettre le système en ligne?
Dans de telles situations, le problème est que vous n'avez plus le contrôle de ce système. Ce n'est plus votre ordinateur.
La seule façon d'être certain que vous avez le contrôle du système est de reconstruire le système. Bien qu'il soit très utile de trouver et de réparer l'exploit utilisé pour pénétrer dans le système, vous ne pouvez pas être sûr de ce qui a été fait d'autre dans le système une fois que les intrus ont pris le contrôle (en effet, ce n'est pas inconnu pour les pirates qui recrutent systèmes dans un botnet pour patcher les exploits qu'ils ont utilisés eux-mêmes, pour protéger "leur" nouvel ordinateur des autres pirates, ainsi que pour installer leur rootkit).
Faites un plan de récupération et remettez votre site Web en ligne et respectez-le:
Personne ne veut être déconnecté plus longtemps que nécessaire. C'est une évidence. Si ce site Web est un mécanisme générateur de revenus, la pression pour le réactiver rapidement sera intense. Même si la seule chose en jeu est la réputation de votre/votre entreprise, cela va encore générer beaucoup de pression pour remettre les choses en place rapidement.
Cependant, ne cédez pas à la tentation de revenir en ligne trop rapidement. Au lieu de cela, allez aussi vite que possible pour comprendre ce qui a causé le problème et pour le résoudre avant de vous reconnecter, sinon vous serez certainement à nouveau victime d'une intrusion, et rappelez-vous, "se faire pirater une fois peut être considéré comme un malheur; se faire pirater à nouveau tout de suite après ressemble à de la négligence "(avec des excuses à Oscar Wilde).
Réduire le risque à l'avenir.
La première chose que vous devez comprendre est que la sécurité est un processus que vous devez appliquer tout au long du cycle de vie de la conception, du déploiement et de la maintenance d'un système accessible sur Internet, pas quelque chose que vous pouvez ensuite gifler quelques couches sur votre code comme bon marché Peindre. Pour être correctement sécurisé, un service et une application doivent être conçus dès le départ en gardant cela à l'esprit comme l'un des principaux objectifs du projet. Je me rends compte que c'est ennuyeux et que vous avez déjà entendu tout cela auparavant et que je "ne me rends pas compte de la pression exercée sur l'homme" pour que votre service bêta web2.0 (bêta) devienne bêta sur le Web, mais le fait est que cela se répéter parce que c'était vrai la première fois qu'on l'a dit et que ce n'est pas encore devenu un mensonge.
Vous ne pouvez pas éliminer le risque. Vous ne devriez même pas essayer de faire ça. Ce que vous devez cependant faire est de comprendre quels risques de sécurité sont importants pour vous, et de comprendre comment gérer et réduire à la fois l'impact du risque et la probabilité que le risque se produise.
Quelles mesures pouvez-vous prendre pour réduire la probabilité de réussite d'une attaque?
Par exemple:
Quelles mesures pouvez-vous prendre pour réduire les conséquences d'une attaque réussie?
Si vous décidez que le "risque" d'inondation de l'étage inférieur de votre maison est élevé, mais pas suffisamment élevé pour justifier un déménagement, vous devez au moins déplacer les héritages irremplaçables de la famille à l'étage. Droite?
... Et enfin
Je n'ai probablement laissé aucune fin à des choses que d'autres considèrent importantes, mais les étapes ci-dessus devraient au moins vous aider à trier les choses si vous n'avez pas la chance de devenir victime de pirates informatiques.
Surtout: ne paniquez pas. Pense avant d'agir. Agissez fermement une fois que vous avez pris une décision et laissez un commentaire ci-dessous si vous avez quelque chose à ajouter à ma liste d'étapes.
Rendre un fichier "non supprimable" sous Linux se fait avec attributs, en particulier l'attribut "immuable". Voir lsattr pour voir les attributs, chattr pour les changer.
Cependant, cela ne répond qu'à la cause proximale. La chose importante est que votre machine a été soumise à un contrôle hostile, et le pirate de l'air a installé des choses pour ses propres objectifs sournois. En particulier, il a probablement installé un rootkit afin de garder l'entrée ouverte malgré les tentatives de nettoyage comme ce que vous essayez de faire. Les rootkits peuvent avoir modifié le noyau et/ou les binaires du système d'une manière qui ne sera pas visible depuis la machine elle-même et qui empêchera leur propre suppression. L'essentiel est que votre machine ne peut pas être enregistrée; il n'y a aucun moyen que vous pouvez fiable rendre votre machine à nouveau propre, enregistrer en reformatant le disque et en réinstallant à partir de zéro.
Évitez les soucis et les maux de tête futurs; neutraliser votre système depuis l'orbite .
Comme je le disais dans la réponse au cross-post de ServerFault. Que c'est une bonne explication. En outre, cela dépend certainement du type d'attaque; j'espère ou malheureusement, cette attaque est suffisamment bruyante pour que vous la reconnaissiez comme une attaque en cours. Ou, à ce que vous pouvez être raisonnablement certain sont les premiers stades d'une attaque, je dirais que cet ordre des opérations est un bon plan à suivre.
Mais, il est possible que les indicateurs de compromis que vous connaissez, ne peignent pas l'image complète de l'infection et déconnecter ce PC ne soit pas dans votre intérêt tant que vous ne comprenez pas l'étendue, je soutiens qu'il pourrait être préférable de le découvrir les points d'entrée et les systèmes que vous ne pouvez pas contrôler avant de commencer à retirer tous les systèmes/périphériques affectés du réseau.
La vérité peut être que ces acteurs sont dans vos systèmes depuis plus longtemps que vous ne le pensiez et montrer votre main trop tôt (c'est-à-dire que j'ai finalement remarqué que vous étiez assis dans mes systèmes) pourrait rendre beaucoup plus difficile l'éradication.
Il n'y a pas de vraie réponse facile, mais celle fournie par RobM est un point de départ plus que suffisant. Avec toutes les pressions, il y a plusieurs bonnes réponses qui pourraient tout aussi bien être de mauvaises réponses. Presque comme le principe d'incertitude s'applique, vous ne savez pas si la réponse sera exacte jusqu'à ce que vous l'essayiez.
Le (PDF) NIST Computer Security Incident Handling Guide devrait également être examiné.
La méthodologie est soumise au scénario exact du monde réel, mais ci-dessous serait une approche possible.
• Quelles sont mes premières étapes? Quand j'arrive sur le site dois-je déconnecter le serveur, conserver les "preuves", y a-t-il d'autres considérations initiales?
Rép: Bien sûr, vous devez déconnecter le serveur du réseau mais ne devez pas éteindre/arrêter le serveur, car vous devrez peut-être faire un examen médico-légal pour comprendre la situation, l'impact de l'incident et devez conserver les preuves ( les données de votre mémoire peuvent être effacées si vous arrêtez le serveur).
Gestion de crise et communication - Si vous avez une politique de gestion de crise et de DR/BCP, suivez les procédures indiquées. Ceci est à nouveau soumis au scénario dans ce cas, cela pourrait être une propagation de virus, vous devrez donc peut-être suivre votre processus.
• Comment dois-je procéder pour remettre les services en ligne?
Rép: Comme indiqué ci-dessus, suivez vos instructions de gestion de crise/DR/BCP. Cela peut varier selon la situation.
Par exemple, si ce virus était une bombe à retardement ou déclenché par une action sur le serveur et une attaque Ransomware, il est préférable de ne pas mettre votre DR immédiatement (cela pourrait déclencher la propagation d'un autre malware à partir de votre serveur DR). La meilleure méthode serait d'évaluer l'impact de l'incident sur votre réseau, puis de prendre les mesures nécessaires pour ramener vos services.
• Comment puis-je empêcher que la même chose ne se reproduise immédiatement?
Rép: La cause première de l'incident doit être déterminée dès que possible pour éviter que le même incident ne se reproduise. Comme indiqué dans la réponse ci-dessus, dans un scénario Ransomware, vous devrez peut-être vous assurer que le malware n'est pas propagé sur votre DR/Backup.
Si l'incident s'est produit en raison d'une vulnérabilité de votre réseau (par exemple, un port de pare-feu a été ouvert par erreur et l'attaque est passée par ce port, des mesures immédiates doivent être prises pour fermer la vulnérabilité connue/identifiée afin d'éviter que l'incident ne se reproduise.
• Existe-t-il des meilleures pratiques ou méthodologies pour apprendre de cet incident?
Rép: Oui, chaque incident peut être de nature unique. Donc, mettez à jour vos procédures de gestion de crise/DR/BCP pour refléter l'apprentissage de tels incidents.
Il est toujours recommandé de mettre en place une surveillance proactive/identification des incidents pour éviter/détecter rapidement de tels incidents. Par exemple, vous pouvez déployer des outils SOC (Security Operations Center) ou SIEM (Security Incident Event Management).
• Si je voulais élaborer un plan de réponse aux incidents, par où commencer? Cela devrait-il faire partie de ma planification de reprise après sinistre ou de continuité des activités?
Rép: Cela devrait faire partie de votre plan BCP/DR et généralement couvert par la gestion de crise (partie du plan BCP).
Sauvegardez le tout - afin que vous puissiez effectuer des analyses judiciaires dans un environnement de type sandbox.
Ensuite - commencez à partir de 0 - oui de RIEN.
Nouveau O/S - entièrement corrigé. Applications - Fichiers de données actuels et à jour ... à partir de vos sauvegardes (avant le moment où vous avez été compromis si possible). Si ce n'est pas le cas, vous devez TOUT numériser le contenu et les autorisations.
Ensuite, effectuez un examen approfondi de la façon dont les pirates informatiques sont entrés et assurez-vous que cela ne se reproduise plus.
Lorsque vous découvrez ce qui s'est passé - prenez des mesures pour vous assurer que cela ne se reproduise plus et publiez (en interne et/ou en externe) ce que vous avez trouvé (vous pouvez choisir d'omettre les contre-mesures).
À moins que vous ne tiriez des leçons de cela, vous subirez de nouveau le même sort.