centos – Shellshock: ¿Cómo puedo saber si mi servidor está comprometido + archivos sospechosos a los que prestar atención?

Leave a Comment / centos / By

Pregunta:

Tres preguntas que espero que alguien pueda ayudar a responder:

  1. ¿Cómo sé si mi servidor ya está comprometido debido al error Shellshock?
  2. Si se vio comprometido, ¿hay una carpeta en particular donde debería buscar archivos maliciosos?
  3. ¿Cómo se ve un archivo malicioso?

Estoy ejecutando CentOS 6, pila LEMP

Respuesta:

¿Cómo sé si mi servidor ya está comprometido debido al error Shellshock?

Tu no Esa es la idea de una vulnerabilidad de seguridad. ¿Si tuvieras que hacer clic en Dejar entrar las galletas? Aceptar / Cancelar no sería una gran vulnerabilidad.

Es posible que tenga algo de suerte al verificar los registros de sus vectores de ataque, pero dado que muchos servicios son vulnerables y no todos registran todos los accesos, es probable que no sea posible encontrar un ataque de manera concluyente.

Si se vio comprometido, ¿hay una carpeta en particular donde debería buscar archivos maliciosos?

No, un archivo malicioso puede estar en cualquier parte.

Los rootkits comunes se instalan en /root o / o /tmp o en una de las rutas binarias, pero en realidad podrían estar en cualquier lugar. Pueden tener un nombre similar a un servicio real o algo "importante" que parezca " IPTables " o " kernel-bin ", pero también pueden ser cadenas de caracteres aleatorias o el mismo nombre que un binario genuino (solo que en una ruta diferente) . Puede detectar una carga de rootkit realmente obvia en /etc/rc.local o hacer conexiones a través de netstat -neopa . Busque nombres de procesos sospechosos en la top -c .

Un rootkit menos común y mucho más difícil de encontrar reemplaza una biblioteca o se carga como una biblioteca shim e intercepta las llamadas al sistema. Esto es casi imposible de encontrar a menos que revise / rastree cada cosa que se ejecuta en su sistema y compare el comportamiento con el comportamiento esperado de un sistema o código fuente en buen estado conocido.

Sería más rápido, más fácil y más concluyente simplemente recargar el sistema.

¿Cómo se ve un archivo malicioso?

Probablemente como cualquier otra biblioteca o binario ELF regular. También puede ser un guión.

En conclusión, si cree que existe la posibilidad de que su sistema se haya visto comprometido, trate el sistema como si estuviera comprometido y tome las medidas necesarias.

Leave a Comment

Your email address will not be published. Required fields are marked *

web tasarım