如果我怀疑我的服务器遭到入侵,我应该立即断开它还是不立即断开它?来自电源还是网络?

信息安全 事件响应 远程服务器
2021-08-27 08:04:00

根据 Mandiant 的说法,您不应该:

错误#1:立即进入“补救模式”——也称为“打地鼠”
……如此处所述:http: //blog.mandiant.com/archives/1525

在某些情况下,通过断开连接立即采取行动是明智的吗?

与此问题合并,因为答案应该有用且相似:

当服务器被root(例如这种情况)时,您可能决定做的第一件事就是遏制。一些安全专家建议不要立即进行补救,并在取证完成之前保持服务器在线。这些建议通常是针对 APT 的。如果您偶尔遇到 Script Kiddie 违规行为,情况会有所不同,因此您可能会决定尽早补救(修复问题)。修复的步骤之一是包含服务器。引用 Robert Moir 的回答 - “将受害者与抢劫者联系起来”。

拉动网线或电源线即可容纳服务器。

哪种方法更好?

考虑到以下需求:

  1. 保护受害者免受进一步伤害
  2. 执行成功的取证
  3. (可能)保护服务器上的有价值数据

编辑:5个假设

假设:

  1. 您提前检测到:24 小时。
  2. 您想尽早恢复:1 名系统管理员在工作中的 3 天(取证和恢复)。
  3. 服务器不是能够拍摄快照以捕获服务器内存内容的虚拟机或容器。
  4. 您决定不尝试起诉。
  5. 您怀疑攻击者可能正在使用某种形式的软件(可能很复杂),并且该软件仍在服务器上运行。
4个回答

答案取决于您的复杂程度、攻击者的复杂程度以及您的目标。

Mandiant 博客文章来自事件响应和计算机取证服务的领先提供商之一,旨在为应对高级持续威胁 (APT) 的复杂组织提供服务。他们担心的一个问题是,如果您无法观察到攻击者在您网络上的各种系统上工作,您甚至可能无法真正解决问题。

但大多数安全事件都是针对管理不善的机器的不太复杂的攻击。在这种情况下,我认为您最好遵循对 Server Fault 问题“ My server's been hacked EMERGENCY ”的高度评价答案中的建议,这表明断开服务器确实通常是第一个响应,尽管您不应该采取行动匆忙。

类似于@AviD 所说的:如果你能以某种方式确定这个受感染的应用程序/主机/网络正在积极地进行另一次攻击,那么至少拔掉网线可能是明智的,对吧?这还假设您无法以其他方式控制攻击,或者事情已经变得非常失控。

这可能会排除任何流程或基础设施,并且还需要一些技能非常低或不聪明的员工。

你知道这是业余时间,当他们在受感染的机器上拔掉电源、网络或磁盘时。

Robert Moir 在这里给出了有用的答案——关于 Serverfault 的一些很好的讨论。

是的,如果您检测到当前正在进行的主动攻击,并且您的检测机制向您保证攻击者尚未“攻击”您的系统或达到他的目标。

请注意,这可能仅在您拥有强大、非常智能的检测机制以及内联关联和主动通知时才有意义。

其它你可能感兴趣的问题
上一篇如何以安全的方式从 Internet 打开文件? 下一篇当我用我的 RSA 公钥加密某些东西时会发生什么?