Hledáme nezvané hosty. Pavel Kácha CESNET, z. s. p. o.

Podobné dokumenty
Trnitá cesta Crypt0L0ckeru

Přednáška 2. Systémy souborů OS UNIX. Nástroje pro práci se souborovým systémem. Úvod do Operačních Systémů Přednáška 2

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

ZOS CV1 Základy operačních systémů

Úvod do Linuxu SŠSI Tábor 1

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian

Systém souborů (File System)

Tomáš Borland Valenta

Linux Hardening Tipy & Triky. Jakub Suchý Red Hat Certified Engineer

Úvod do Operačních Systémů

Úvod do Operačních Systémů

Systém souborů (file system, FS)

Zabezpečení linuxového serveru

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

2.1 Obecné parametry Obecné parametry Rack serveru

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Monitorování sítě pomocí OpenWrt

Administrace Unixu a sítí

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Josef Hajas.

Příkaz find, práce s procesy a úlohami, plánování úloh

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Počítačové sítě Systém pro přenos souborů protokol FTP

Správa počítačové sítě Novell NetWare

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

IM Instalace síťové verze SprutCAM. 1Nastavení serveru Vlastní instalace serveru...2 3Nastavení uživatelského počítače...

Nainstaloval jsem a jak dál? Michal Turek

LINUX SOUBORY. Zadejme příkaz ls l! V této lekci se odrazíme od dlouhého výpisu příkazu ls a uvidíme, kam nás to zanese. SPŠ Teplice - 3.

NAS 242 Aplikace AiMaster pro mobilní zařízení

Systémy souborů (File Systems)

Administrace Unixu a sítí

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Úvod do Operačních Systémů

Část první: Tipy a triky pro práci se systémem 17

Tipy a triky nejenom v shellu nejenom pro programátory

PSK3-3. Základní příkazy. Zápis cesty

Linux-příkazový řádek

Úvod, jednoduché příkazy

Network Measurements Analysis (Nemea)

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Log management ELISA. Konference LinuxDays 2018

Úvod do Operačních Systémů

v. 2425a Jak si na PC vypěstovat HTTP (WWW, Web) server a jak ho používat (snadno a rychle) by: Ing. Jan Steringa

Proměnné a parametry. predn_08.odt :00:38 1

Se SELinuxem bezpečně

Co se skrývá v datovém provozu?

Unix je víceuživatelský a víceúlohový OS

Informatika / o souborech

Lekce 21 IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Rozdělení operačních systémů

Nová cesta ip. Stará cesta ifconfig, route. Network address translation NAT

Úvod do Unixu. man: příkaz pro zobrazení nápovědy k danému příkazu, programu (pokud je k dispozici), např. man cp. pwd: vypíše cestu k aktuální pozici

Úvod do Operačních Systémů

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Souborový systém. ZPS 4 Souborový systém, sdílení souborů a tiskáren, VPN

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je možné, že někde bude chyba.

Linux Teorie operačních systémů a realita

Specifikace předmětu veřejné zakázky

APS Key.Reader. Program pro komunikaci s moduly systému APS Key. Uživatelská příručka

ANALÝZA MALWARE V PAMĚTI POČÍTAČE. Vašek Lorenc

Úvod. unx-predn_01-uvod.odt :13:43 1

Příručka pro správu systému

Jak funguje SH Síť. Ondřej Caletka

Forensic analysis - Linux

Architektura systému GNU/Linux. Bohdan Milar

ID Microserver. TCP Server pro čtečky:

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Zálohování pro začátečníky. Ondřej Caletka

Seminář pro správce univerzitních sí4

Přednáška 5. Identita uživatelů, procesů a souborů. Přístupová práva a jejich nastavení. Úvod do Operačních Systémů Přednáška 5

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Flow Monitoring & NBA. Pavel Minařík

Soubory. SŠSI Tábor 1

Bootkity v teorii a praxi. Martin Dráb martin.drab@ .cz

Identita uživatelů, přístupová práva. Linux

Testovací protokol USB token etoken PRO 32K

Slovník pro Acronis True Image 2017

1. přednáška pro začátečníky

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

TGMmini. začínáme. komplexní dodávky a zprovoznění servopohonů dodávky řídicích systémů

Střední odborná škola a Střední odborné učiliště, Hořovice

Shrnutí Obecné Operační systém Microsoft Windows 7 Ultimate Centrální procesor

Práce s disky a ISO soubory

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Forenzní analyzátor pro operativní analýzu. 19. května 2008

Uživatelský manuál. KNXgal

Bezpečnostní záplata linuxového jádra Ochrana přístupu k paměti Nabízí: podporu nespustitelných stránek randomizaci adresního prostoru (ASLR)

Metody zabezpečeného přenosu souborů

Linux a Vzdálená plocha

HW Diskové pole - 1KS

Operační systémy 1. Přednáška číslo Souborové systémy

Základní příkazy pro práci se soubory

Uživatelský manuál. KNXgal. řízení zabezpečovacích ústředen. Galaxy ze sběrnice KNX. napájeno ze sběrnice KNX. indikace komunikace na KNX

Testovací protokol USB Token Cryptomate

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

Tomáš Čejka Monitorování sítě pomocí flow. case studies

FlowMon Vaše síť pod kontrolou

Linux připojování zařízení. 6 praktická část

Transkript:

Hledáme nezvané hosty Pavel Kácha CESNET, z. s. p. o.

Pomoc! Neznámé soubory na podivných místech Server komunikuje kdy či s kým nemá Neobvyklé procesy Nečekaný/neplánovaný restart důležitých démonů Otevřené porty Křičí Nagios Dupe po mně bezpečák 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 2

Čeho chci dosáhnout? Nahodit zpátky službu? Nahodit zpátky bezpečnou službu? Kolik mám času? Jak je služba kritická? Jaké mám možnosti přístupu? Jaké mám možnosti omezit dopad a ne službu? 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 3

Ukládání informací Stopař si může pošlapat stopy atime přepis smazaných souborů relokace sektorů na disku, wear-leveling u SSD Je vhodné dělat si obrazy (paměti, disku, terminálu). Jak? copy-paste z terminálu, ukládání ze screenu/tmuxu rourování výstupů přes ssh na jiný stroj externí USB disk mount vzdáleného disku (ale pozor na cryptolocker :) ) 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 4

Kde začít: časová osa find / xdev printf \ '%TY %Tm %TdT%TH:%TM:%TS %10i modify %M %u %g %p\n'\ '%AY %Am %AdT%AH:%AM:%AS %10i access %M %u %g %p\n'\ '%CY %Cm %CdT%CH:%CM:%CS %10i change %M %u %g %p\n'\ sort awk '{$2=""; print}' 2017 10 06T12:50:50 access drwx root root /tmp/aptitude root.5405:3mlp1m 2017 10 06T12:50:50 change drwx root root /tmp/aptitude root.5405:3mlp1m 2017 10 06T12:50:50 modify drwx root root /tmp/aptitude root.5405:3mlp1m 2017 10 06T12:51:43 access rw r r root root /etc/ld.so.conf 2017 10 06T12:51:44 change drwxr xr x root root /etc 2017 10 06T12:51:44 modify drwxr xr x root root /etc 2017 10 06T13:24:25 change drwxrwxrwt root root /tmp 2017 10 06T13:24:25 modify drwxrwxrwt root root /tmp (Ničí atime je třeba provést jako první, nebo na image.) fls r m / /dev/xxx > fs.filelist mactime b fs.filelist (Obchází kernel, získá i smazané soubory.) 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 5

Image HW write blocker nemá každý blockdev setro hdparm r1 hdparm D mount o remount,ro Kopie parcely/disku dd if=/dev/xxx of=xxx.dd bs=512k ddrescue /dev/xxx XXX.dd 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 6

Stav živého systému ps aux, netstat --all --program, lsof procesy s podivnými názvy (mezery, tečky, lomítka) neobvyklé podprocesy systémové/kernelové procesy s vysokým PID gcore -o PID.dump PID strings a PID.dump strace p PID o processname grep "open" processname; /proc/pid/exe, cwd, cmdline 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 7

mount -o loop,ro Systém souborů grep r pattern /mountpoint find /mountpoint iname shpattern smazaná data, carving grep only matching byte offset text pattern image.bin (výkon grepů může zlepšit --mmap, LANG=C) strings image.bin grep bez vazby na soubor SleuthKit, foremost, sfdumper, Scalpel, TestDisk, PhotoRec, extundelete, 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 8

Časové známky mtime modifikace dat souboru či obsahu adresáře (často zachovávají kopírovací utility) ctime změna atributů (jméno, vlastník, práva, link) (často zde vydrží čas vytvoření) (na rozdíl od ostatních jde explicitně změnit jen zásahem na device) atime poslední přístup (čtení, spuštění) souboru (s noatime pešek, s relatime jen pokud se změnilo i něco jiného) (Zvažte nepoužívání noatime/relatime alespoň na systémových parcelách, jsou-li oddělené od datových s častým přístupem.) 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 9

Integrita debsums rpm verify porovnání se zálohami ale pozor, kompromitace může být už i tam (Jsme-li prozíraví, máme Tripwire, Aide, Samhain.) 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 10

Anomálie Low-hanging fruit chkrootkit, rkhunter, fslint /etc podezřelé konfigurace a pohyby init.d, apm, udev, UPower, NetworkManager, (ana)cron, hibernate, pmode, ifplugd, ifup, profile.d... soubory a jejich pohyb mount grep tmp (sem patří i /dev) adresáře vlastněné démony (/var/www, ) tečkové soubory v nedomovských adresářích 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 11

Anomálie II práva soubory bez vlastníka, bez skupiny uživatelská práva v etc, bin, sbin, usr, lib, root neobvyklá elevovaná práva (s-bit) spustitelné soubory v neobvyklých adresářích (znamená i nespustitelné, ale s shebangem) soubory s neuživatelským vlastníkem v uživatelských adresářích časové známky příliš nové, příliš staré, mimo okolí 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 12

Logy /var/log/{w,b}tmp, /var/run/utmp, /var/log/lastlog last f?tmp lastlog /var/log/syslog, daemon.log, secure, apache a ostatní internetoví démoni logy specifických (webových) aplikací.bash_history neobjevila se.bash_history i jinde než v /home/*/? 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 13

Vyřešeno? Jaké jsou souvislosti? Nemohl se útočník dostat i jinam? Nemohl využít jako přeskok? Co mohu udělat, aby se to znovu nestalo? Co mohu monitorovat, abych na to přišel dříve? Jak se poučím? 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 14

Odkazy The Sleuth Kit http://www.sleuthkit.org/ SFDumper Foremost http://sfdumper.sourceforge.net/index.html#c http://foremost.sourceforge.net/ TestDisk, PhotoRec Scalpel http://www.cgsecurity.org/ http://www.digitalforensicssolutions.com/scalpel/ 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 15

Odkazy Tripwire https://sourceforge.net/projects/tripwire/ Aide http://aide.sourceforge.net/ Samhain http://www.la-samhna.de/samhain/index.html 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 16

Volatility Framework Paměť https://www.volatilesystems.com/default/volatility Volatilitux (ARM, PAE) http://code.google.com/p/volatilitux/ 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 17

Pozvánky Zájemci o práci na projektech kolem bezpečnosti: https://csirt.cesnet.cz/ Ne 10:00 / 105 - Ondřej Caletka - IPv6 tunely pomocí OpenVPN Ne 11:00 / 107 - Tomáš Čejka - Monitorování sítě pomocí flow Stánek CESNET dema: L0 SDN a železniční doprava Flexibilní zpracování paketů rychlostí 100 Gb/s Stánek Bastlíři SH: indoor LoRaWAN gateway (s podporou CESNET) Měsíc kybernetické bezpečnosti (http://mkb.cesnet.cz) Hacking soutěž The Catch ( 8. 10. 5. 11. 2017 ) Seminář Security Fest ( 31. 10. 2017, Masarykova kolej ČVUT ) 7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 18

7. 10. 2017 LinuxDays 2017: Hledáme nezvané hosty 19

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář