それでもサーバがクラックされたら…?
前回のつづき。
クラックされたサーバを調査するにはどうするのか、簡単に紹介しましょう。
・LANケーブルを抜くこと
これは被害拡大を抑えるために必要です。ソフトウェアでネットワークを停止させてはいけません。
クラックされた環境内では全てがデタラメだと思うべきです。
・クリーンなバイナリを用意する
クラックされていないクリーンな環境からOSの管理コマンドなどをコピーします。
コピーの際はネットワークは使えませんので、外部メディアへコピーし実行します。
CD-Rなどの読み込み専用メディアだとベストです。
・クリーンなバイナリはスタティックリンクでビルドする
単純に他の環境からコマンドをコピーした場合だと共有ライブラリを使用している物があります。
クラックされた環境ではもちろん共有ライブラリも信用できませんので、
スタティックリンクなバイナリが必要になります。(無ければ自分でビルドするしかありません)
・ルートキット検出ツールを使用する
もちろん、検出ツールもクリーンなバイナリである必要があります。
・ログインユーザ、実行プロセス一覧、ログインヒストリなどを取得する
外部メディアに記録しましょう。ひとまず取得が先で解析は後です。
・メモリダンプやリングバッファ、ディスクイメージを取得する
外部メディアに記録しましょう。HDDであれば丸ごとが好ましいです。
・調査のために実行したコマンド、実行時刻などを逐次詳細に記録する
別途紙媒体などに作業に併せて書くべきです。
証拠保全が目的ですが、調査する人間が証拠隠滅を行っていないことを証明するためには必要です。
状況にも依りますが、立会人なども必要かもしれません。
・取得したデータを閉じた環境で解析する
元のクラックされたサーバはそのままにしましょう(LANは外す)。
解析結果が出るまで、電源を落としても再起動してもいけません。
解析までは流れ作業的に行いますが、解析作業は「エンジニアの感」が全てです。
やはり、こういうのは専門家に任せるべきでしょう。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/462
