Xin hỏi cách xử lý tình huống lúc đang bị tấn công?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Xin hỏi cách xử lý tình huống lúc đang bị tấn công?

[Question] Xin hỏi cách xử lý tình huống lúc đang bị tấn công?	14/04/2009 18:55:05 (+0700) \| #1 \| 177107

Kihote
Member

Joined: 27/10/2008 17:00:46
Messages: 24
Offline

Chào mọi người .
Nhà mình có một máy setup Linux , để setup nghịch linh tinh.
Hôm trước mở port 22 để shh từ ngoài vào.Sáng này em tình cờ mình vào đọc file log .Thì xuất hiện một loạt các các sự kiện sau.

Apr 14 10:35:36 localhost sshd(pam_unix)[12940]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=94.198.98.65
Apr 14 10:35:39 localhost named[2914]: client 127.0.0.1#32944: query(cache) '59.167.73.222.in-addr.arpa/IN' denied
Apr 14 10:35:39 localhost sshd(pam_unix)[12944]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.73.167.59 user=root
Apr 14 10:35:41 localhost named[2914]: client 127.0.0.1#32945: query(cache) '65.98.198.94.in-addr.arpa/IN' denied
Apr 14 10:35:41 localhost named[2914]: client 127.0.0.1#32945: query(cache) 'vps-65.netsons.net/IN' denied
Apr 14 10:35:41 localhost named[2914]: client 127.0.0.1#32945: query 'vps-65.ne

Thằng nào đó không biết cứ liên tục gởi request đăng nhập và hệ thống với các user root,postgres , uucp,smmsp,mailnull,nfsnobody,rpc
NÓ làm liền một mạch trong một tiếng, vừa nghỉ cách đây chắc khoảng 15 phút. Đọc phía trên thì một là báo đăng nhập ssh failure.Hai là thằng DNS nó query cái gì đó ? Em ko hiểu vì dịch vụ này khi setup xong em test và đã tắt , em ko cho nó chạy tự động?
Vấn đề em hỏi nữa là , cách tốt nhất khi xử lý mà hệ thống đang bị tấn công là cách nào ? Và cách đánh giá , chẳng hạn xem thằng đó nó đã làm gì với hệ thống mình chưa ? Kiểm tra mức thiệt hại , và có những khắc phục nào ?
Xin hỏi là nếu thằng đó vào rồi thì làm gì máy mình ? Vì máy đó có cái gì đâu smilie

.Chỉ sợ vào rồi nhảy lung tung qua các máy khác trong mạng lan, phá phách hư mất hết tài liệu.
Xin cảm ơn mọi người.

[Question] Xin hỏi cách xử lý tình huống lúc đang bị tấn công?	14/04/2009 19:30:35 (+0700) \| #2 \| 177108

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Kihote wrote:

Chào mọi người .
Nhà mình có một máy setup Linux , để setup nghịch linh tinh.
Hôm trước mở port 22 để shh từ ngoài vào.Sáng này em tình cờ mình vào đọc file log .Thì xuất hiện một loạt các các sự kiện sau.

Apr 14 10:35:36 localhost sshd(pam_unix)[12940]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=94.198.98.65
Apr 14 10:35:39 localhost named[2914]: client 127.0.0.1#32944: query(cache) '59.167.73.222.in-addr.arpa/IN' denied
Apr 14 10:35:39 localhost sshd(pam_unix)[12944]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.73.167.59 user=root
Apr 14 10:35:41 localhost named[2914]: client 127.0.0.1#32945: query(cache) '65.98.198.94.in-addr.arpa/IN' denied
Apr 14 10:35:41 localhost named[2914]: client 127.0.0.1#32945: query(cache) 'vps-65.netsons.net/IN' denied
Apr 14 10:35:41 localhost named[2914]: client 127.0.0.1#32945: query 'vps-65.ne

Thằng nào đó không biết cứ liên tục gởi request đăng nhập và hệ thống với các user root,postgres , uucp,smmsp,mailnull,nfsnobody,rpc
NÓ làm liền một mạch trong một tiếng, vừa nghỉ cách đây chắc khoảng 15 phút. Đọc phía trên thì một là báo đăng nhập ssh failure.Hai là thằng DNS nó query cái gì đó ? Em ko hiểu vì dịch vụ này khi setup xong em test và đã tắt , em ko cho nó chạy tự động?
Vấn đề em hỏi nữa là , cách tốt nhất khi xử lý mà hệ thống đang bị tấn công là cách nào ? Và cách đánh giá , chẳng hạn xem thằng đó nó đã làm gì với hệ thống mình chưa ? Kiểm tra mức thiệt hại , và có những khắc phục nào ?
Xin hỏi là nếu thằng đó vào rồi thì làm gì máy mình ? Vì máy đó có cái gì đâu .Chỉ sợ vào rồi nhảy lung tung qua các máy khác trong mạng lan, phá phách hư mất hết tài liệu.
Xin cảm ơn mọi người.

Bồ hiểu mấy chuỗi màu đỏ ở trên có nghĩa là gì không?

What bringing us together is stronger than what pulling us apart.

[Question] Re: Xin hỏi cách xử lý tình huống lúc đang bị tấn công?	14/04/2009 20:06:31 (+0700) \| #3 \| 177111

Kihote
Member

Joined: 27/10/2008 17:00:46
Messages: 24
Offline

Dĩ nhiên là hiểu chứ ? là thất bại từ chối truy cập. Nhưng nếu ngày nào đó , nó thành công, không một thì hai hoặc ba.Thì cách xử lý như thế nào để hạn chết cách thấp nhất mức thiệt hại ?
Chẳng hạn cả hệ thống đang chạy , em đâu có ngan xương rút phích ổ cắm.
Ý câu hỏi của em là, nếu nó log vào rồi , thành công mà mình phát hiện được điều đó, thì xử lý tiếp theo thế nào? Dừng server khóa port rà soát lại ? Mà rà soát cái gì ? Và làm sao biết được nó đã đụng vào thứ gì trong hệ thống mình. Nó đã ăn cắp gì ? Rồi thông tin về cơ sở dữ liệu, rồi thay đổi tất cả các thông tin bí mật hay sao ?

smilie

Câu hỏi của em cách khắc phục sự cố. smilie

.Thời gian nhanh chóng , để hệ thống có thể hoạt động lại nhanh. smilie

[Question] Re: Xin hỏi cách xử lý tình huống lúc đang bị tấn công?	14/04/2009 20:34:37 (+0700) \| #4 \| 177113

H3x4
Member

Joined: 02/04/2009 00:03:16
Messages: 242
Offline

Disable root remote access:
$nano /etc/ssh/sshd_config
PermitRootLogin yes -> no
$/sbin/service sshd restart
Sau này log vào bằng user bình thường rồi su lên root .

[Question] Re: Xin hỏi cách xử lý tình huống lúc đang bị tấn công?	14/04/2009 21:04:41 (+0700) \| #5 \| 177114

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

và thêm:

StrictModes yes
MaxAuthTries 3

rồi restart lại sshd.

Muốn vững hơn thì đổi ssh port từ 22 thành 1 port khác để tránh bị automated brute và dùng iptables để giới hạn số syn đến ssh port trong 1 khoảng thời gian nhất định.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Xin hỏi cách xử lý tình huống lúc đang bị tấn công?	14/04/2009 21:10:33 (+0700) \| #6 \| 177116

StarGhost
Elite Member

Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline

Kihote wrote:

Dĩ nhiên là hiểu chứ ? là thất bại từ chối truy cập. Nhưng nếu ngày nào đó , nó thành công, không một thì hai hoặc ba.Thì cách xử lý như thế nào để hạn chết cách thấp nhất mức thiệt hại ?
Chẳng hạn cả hệ thống đang chạy , em đâu có ngan xương rút phích ổ cắm.
Ý câu hỏi của em là, nếu nó log vào rồi , thành công mà mình phát hiện được điều đó, thì xử lý tiếp theo thế nào? Dừng server khóa port rà soát lại ? Mà rà soát cái gì ? Và làm sao biết được nó đã đụng vào thứ gì trong hệ thống mình. Nó đã ăn cắp gì ? Rồi thông tin về cơ sở dữ liệu, rồi thay đổi tất cả các thông tin bí mật hay sao ?

Câu hỏi của em cách khắc phục sự cố..Thời gian nhanh chóng , để hệ thống có thể hoạt động lại nhanh. .

Không tồn tại một technique nào thuộc loại "hard and fast" để thực hiện các việc trên. Nếu hệ thống của bạn có bất cứ resource gì đòi hỏi protection, thì bạn phải thiết lập protection cho các resources đó, bao gồm (nhưng không giới hạn trong) authentication, access control, và auditing. Như vậy khi bạn phát hiện ra truy cập đáng nghi ngờ vào hệ thống thì bạn cũng có thể tìm ra những thứ nhạy cảm đã bị đụng đến.

Nếu bạn chỉ đơn giản muốn ngừng ngay cuộc tấn công thì ngay khi phát hiện ra IP lạ đang truy cập, bạn có thể đặt firewall rule để block mọi kết nối từ IP đó, sau đó tiến hành phân tích, tất nhiên giả định rằng attacker còn chưa disable cái privilege này của bạn.

Để có thể làm được những việc trên, bạn phải có plan cụ thể. Trong môi trường business, thì cái này người ta gọi là incident response plan. Ngoài ra less time critical thì có disaster recover plan, và more time critical thì có business continuity plan.

Và tất nhiên tốt hơn hết vẫn là "phòng bệnh thì hơn chữa bệnh".

Mind your thought.

Go to:

Users currently in here
1 Anonymous