Как остановить исходящую атаку методом перебора

Question

Как эксперт по ИТ-безопасности, я считаю, что правильным ответом на любую угрозу безопасности, связанную со взломом машины, является:Отключите затронутую систему (системы) (полностью отключите их или немедленно отключите от сети и изолируйте их, если вы собираетесь разобрать систему и нарушение), и уничтожьте ее с орбиты, чтобы очистить ее. Уничтожьте ее начисто, восстановите важные вещи из чистых резервных копий в новую переустановку операционной системы, которая является чистой.

После этого вам нужно убедиться, что все ваши приложения в этой системе должны быть укреплены и заблокированы. Если вы используете веб-приложение вроде Wordpress или что-то в этом роде, вам, скорее всего, нужно регулярно обновлять его. Добавление решения fail2banв вашу систему и включение его для ваших различных приложений поможет, так что когда что-то срабатывает, оно блокируется на брандмауэре на некоторое время из-за продолжающихся попыток атак.

(Надлежащая защита вашей системы и приложений — это очень ОБШИРНАЯ задача, которая слишком велика для этого отдельного поста и всегда требует индивидуального анализа/анализа риска/затрат и выгоды, поэтому мы не можем дать вам наилучший способ надлежащей защиты всего.)

Если выДействительнонужно разобраться, что происходит, установить net-toolsна пострадавшем компьютере, а затем отключить его от сети.

sudo apt install net-tools

После этого запустите sudo netstat -atupenи найдите все исходящие соединения на порт 22 в вашей системе, и посмотрите, какой процесс запускает исходящие соединения порта 22. Следите за этим также и запускайте его много раз, если вам нужно убедиться, что он отображается, потому что без сети он, скорее всего, попытается и сразу же потерпит неудачу, поэтому может потребоваться запустить его несколько раз.

Однако,вам лучше удалить все в системе и перестроить ее с нуляи лучше сохраняйте резервные копии своей информации, которые НЕ будут заражены вредоносным ПО.

Кроме того, если вы не знаете, что делаете, вам не следует размещать сервер и т. п. в своей собственной сети из-за подобных проблем — ваши собственные системы могут быть взломаны, если хотя бы одна система в вашей домашней сети выйдет из строя.

Чтобы представить мою последнюю часть в перспективе:

Даже с моим опытом, все серверы в моей сети, работающие в Интернете, защищены от других серверов, не позволяющих им достичь их, и моя сеть, построенная как сеть корпоративного класса, укомплектованная управляемым брандмауэром, управляемыми коммутаторами и т. д., означает, что мои серверы, выходящие в Интернет, изолированы в соответствующих DMZ и не могут достичь остальной части моей сети, где присутствуют более важные данные. Изоляция сети и укрепление такого масштаба требуют гораздо большего, чем то, что вы получите на уровнях оборудования «домашнего» и «потребительского» класса, которое вы можете получить, это требует много дополнительного времени, усилий и знаний, чтобы действительно изолировать системы, выходящие в Интернет, чтобы предотвратить более крупные нарушения, а также получить журналирование чистого потока для различного поведения сети, а также фильтрацию по активным спискам разведки, чтобы блокировать известное зло. Это не для слабонервных, и требует МНОГО усилий, чтобы поддерживать его в рабочем состоянии.

Два моих сервера, которые я запускаю в DMZ для клиентов, недавно вышли из строя из-за неправильно пропатченных экземпляров Wordpress. К СЧАСТЬЮ, я храню для них резервные копии, поэтому мы уничтожили взломанные экземпляры, восстановили их из чистых резервных копий, а затем я быстро потратил шесть часов на каждую машину, исправляя их и заново укрепляя их. Один единственный непропатченный экземпляр Wordpress на каждом из этих серверов привел к тому, что эти серверы были взломаны и попытались распространить вредоносное ПО, которое обнаружила моя IDS/IPS — опять же, это сетевая настройка корпоративного уровня, поэтому у меня есть время, инфраструктура и деньги, чтобы вложить в нее все средства защиты. У вас не будет этого на вашем обычном сервере или домашней сетевой настройке.

Answer 1

Как эксперт по ИТ-безопасности, я считаю, что правильным ответом на любую угрозу безопасности, связанную со взломом машины, является:Отключите затронутую систему (системы) (полностью отключите их или немедленно отключите от сети и изолируйте их, если вы собираетесь разобрать систему и нарушение), и уничтожьте ее с орбиты, чтобы очистить ее. Уничтожьте ее начисто, восстановите важные вещи из чистых резервных копий в новую переустановку операционной системы, которая является чистой.

После этого вам нужно убедиться, что все ваши приложения в этой системе должны быть укреплены и заблокированы. Если вы используете веб-приложение вроде Wordpress или что-то в этом роде, вам, скорее всего, нужно регулярно обновлять его. Добавление решения fail2banв вашу систему и включение его для ваших различных приложений поможет, так что когда что-то срабатывает, оно блокируется на брандмауэре на некоторое время из-за продолжающихся попыток атак.

(Надлежащая защита вашей системы и приложений — это очень ОБШИРНАЯ задача, которая слишком велика для этого отдельного поста и всегда требует индивидуального анализа/анализа риска/затрат и выгоды, поэтому мы не можем дать вам наилучший способ надлежащей защиты всего.)

Если выДействительнонужно разобраться, что происходит, установить net-toolsна пострадавшем компьютере, а затем отключить его от сети.

sudo apt install net-tools

После этого запустите sudo netstat -atupenи найдите все исходящие соединения на порт 22 в вашей системе, и посмотрите, какой процесс запускает исходящие соединения порта 22. Следите за этим также и запускайте его много раз, если вам нужно убедиться, что он отображается, потому что без сети он, скорее всего, попытается и сразу же потерпит неудачу, поэтому может потребоваться запустить его несколько раз.

Однако,вам лучше удалить все в системе и перестроить ее с нуляи лучше сохраняйте резервные копии своей информации, которые НЕ будут заражены вредоносным ПО.

Кроме того, если вы не знаете, что делаете, вам не следует размещать сервер и т. п. в своей собственной сети из-за подобных проблем — ваши собственные системы могут быть взломаны, если хотя бы одна система в вашей домашней сети выйдет из строя.

Чтобы представить мою последнюю часть в перспективе:

Даже с моим опытом, все серверы в моей сети, работающие в Интернете, защищены от других серверов, не позволяющих им достичь их, и моя сеть, построенная как сеть корпоративного класса, укомплектованная управляемым брандмауэром, управляемыми коммутаторами и т. д., означает, что мои серверы, выходящие в Интернет, изолированы в соответствующих DMZ и не могут достичь остальной части моей сети, где присутствуют более важные данные. Изоляция сети и укрепление такого масштаба требуют гораздо большего, чем то, что вы получите на уровнях оборудования «домашнего» и «потребительского» класса, которое вы можете получить, это требует много дополнительного времени, усилий и знаний, чтобы действительно изолировать системы, выходящие в Интернет, чтобы предотвратить более крупные нарушения, а также получить журналирование чистого потока для различного поведения сети, а также фильтрацию по активным спискам разведки, чтобы блокировать известное зло. Это не для слабонервных, и требует МНОГО усилий, чтобы поддерживать его в рабочем состоянии.

Два моих сервера, которые я запускаю в DMZ для клиентов, недавно вышли из строя из-за неправильно пропатченных экземпляров Wordpress. К СЧАСТЬЮ, я храню для них резервные копии, поэтому мы уничтожили взломанные экземпляры, восстановили их из чистых резервных копий, а затем я быстро потратил шесть часов на каждую машину, исправляя их и заново укрепляя их. Один единственный непропатченный экземпляр Wordpress на каждом из этих серверов привел к тому, что эти серверы были взломаны и попытались распространить вредоносное ПО, которое обнаружила моя IDS/IPS — опять же, это сетевая настройка корпоративного уровня, поэтому у меня есть время, инфраструктура и деньги, чтобы вложить в нее все средства защиты. У вас не будет этого на вашем обычном сервере или домашней сетевой настройке.

Как остановить исходящую атаку методом перебора

решение1

Связанный контент