วิธีหยุดการโจมตีด้วยกำลังเดรัจฉานขาออก

ในฐานะผู้เชี่ยวชาญด้านความปลอดภัยด้านไอที การตอบสนองที่เหมาะสมต่อความเสี่ยงด้านความปลอดภัยของเครื่องที่ถูกบุกรุกคือ: ปิดใช้งานระบบที่ได้รับผลกระทบ (ปิดระบบทั้งหมดหรือตัดการเชื่อมต่อจากเครือข่ายทันทีและแยกออกจากกันหากคุณต้องการแยกระบบและการละเมิด) และนำมันออกจากวงโคจรเพื่อทำความสะอาด ล้างข้อมูลให้สะอาด กู้คืนข้อมูลสำคัญจากข้อมูลสำรองที่สะอาด ไปจนถึงการติดตั้งใหม่อีกครั้งของระบบปฏิบัติการที่สะอาด

เมื่อดำเนินการเสร็จแล้ว คุณต้องแน่ใจว่าแอปพลิเคชันทั้งหมดของคุณที่คุณมีในระบบนี้จะต้องได้รับการเสริมความแข็งแกร่งและล็อคไว้ เป็นไปได้ว่าหากคุณใช้งานเว็บแอปพลิเคชัน เช่น Wordpress หรืออื่นๆ คุณจะต้องอัปเดตโปรแกรมดังกล่าวอย่างสม่ำเสมอตลอดเวลา การเพิ่ม ล้มเหลว 2 แบน โซลูชันสำหรับระบบของคุณและการเปิดใช้งานสำหรับแอปพลิเคชันต่าง ๆ ของคุณจะช่วยได้ ดังนั้นเมื่อสิ่งต่าง ๆ ทริกเกอร์ พวกเขาจะถูกบล็อกที่ไฟร์วอลล์ชั่วระยะเวลาหนึ่งเนื่องจากการพยายามโจมตีอย่างต่อเนื่อง

(การทำให้ระบบและแอปพลิเคชันของคุณแข็งแกร่งขึ้นอย่างเหมาะสมเป็นสิ่งที่กว้างมากซึ่งใหญ่เกินไปสำหรับโพสต์เดียวนี้ และมักจะเป็นกรณีไปในการวิเคราะห์/พื้นฐานของการวิเคราะห์ความเสี่ยง/ผลตอบแทนต้นทุน ดังนั้นเราจึงไม่สามารถให้วิธีที่ดีที่สุดแก่คุณได้จริงๆ เพื่อให้ทุกอย่างแข็งตัวอย่างเหมาะสม)

ถ้าคุณ จริงๆ ต้องการผ่าสิ่งที่เกิดขึ้นติดตั้ง เครื่องมือสุทธิ บนเครื่องที่ได้รับผลกระทบ แล้วยกเลิกการเชื่อมต่อจากเครือข่าย

sudo apt ติดตั้งเครื่องมือสุทธิ

เสร็จแล้วก็วิ่ง sudo netstat -atupen และมองหาการเชื่อมต่อใดๆ ที่ส่งออกไปยังพอร์ต 22 บนระบบของคุณ และดูว่ากระบวนการใดที่ทริกเกอร์การเชื่อมต่อพอร์ต 22 ขาออก จับตาดูให้ดีและเรียกใช้หลาย ๆ ครั้งด้วยหากคุณต้องการให้แน่ใจว่ามันปรากฏขึ้น เนื่องจากไม่มีเครือข่าย มันอาจจะลองและล้มเหลวทันที ดังนั้นอาจจำเป็นต้องเรียกใช้สองสามครั้ง

อย่างไรก็ตาม, คุณควรลบทุกอย่างในระบบและสร้างใหม่ตั้งแต่ต้น และสำรองข้อมูลของคุณให้ดียิ่งขึ้นซึ่งจะไม่ถูกมัลแวร์รบกวน

นอกจากนี้ เว้นแต่คุณจะรู้ว่าคุณกำลังทำอะไรอยู่ คุณไม่ควรโฮสต์เซิร์ฟเวอร์ ฯลฯ บนเครือข่ายของคุณเองเนื่องจากปัญหาเหล่านี้ ระบบของคุณเองอาจถูกละเมิดได้หากระบบใดระบบหนึ่งบนเครือข่ายในบ้านของคุณถูกเปิด

เพื่อให้บิตสุดท้ายของฉันมีมุมมอง:

จากประสบการณ์ของฉัน เซิร์ฟเวอร์ทั้งหมดบนเครือข่ายของฉันที่ใช้งานอินเทอร์เน็ตเผชิญหน้ากันนั้นถูกขัดขวางไม่ให้เข้าถึงเซิร์ฟเวอร์อื่น และเครือข่ายของฉันถูกสร้างขึ้นเป็นเครือข่ายประเภทระดับองค์กรที่สมบูรณ์ด้วยไฟร์วอลล์ที่มีการจัดการ สวิตช์ที่มีการจัดการ ฯลฯ หมายความว่าอินเทอร์เน็ตของฉัน เซิร์ฟเวอร์ที่เผชิญหน้าถูกแยกออกเป็น DMZ ตามลำดับ และไม่สามารถเข้าถึงเครือข่ายที่เหลือของฉันซึ่งมีข้อมูลที่สำคัญกว่าอยู่ การแยกเครือข่ายและการเสริมความแข็งแกร่งของขนาดนี้ต้องการมากกว่าสิ่งที่คุณจะได้จากอุปกรณ์ระดับ 'ที่อยู่อาศัย' และ 'ผู้บริโภค' ที่คุณจะได้รับ มันต้องใช้เวลา ความพยายาม และความรู้พิเศษอย่างมากในการแยกอินเทอร์เน็ตที่เผชิญหน้ากันอย่างแท้จริง ระบบเพื่อป้องกันการละเมิดที่ใหญ่ขึ้น เช่นเดียวกับการรับการบันทึกการไหลของเครือข่ายสำหรับพฤติกรรมเครือข่ายที่แตกต่างกัน เช่นเดียวกับการกรองรายการ Intel ที่ใช้งานอยู่เพื่อป้องกันความชั่วร้ายที่รู้จัก มันไม่เหมาะสำหรับคนใจเสาะและต้องใช้ความพยายามอย่างมากเพื่อให้มันใช้งานได้เช่นกัน

เซิร์ฟเวอร์สองเครื่องของฉันที่ฉันทำงานใน DMZ สำหรับลูกค้าถูกเรียกใช้งานเมื่อเร็วๆ นี้ เนื่องจากอินสแตนซ์ Wordpress แพตช์ไม่ถูกต้อง โชคดีที่ฉันเก็บข้อมูลสำรองไว้ ดังนั้นเราจึงทำการล้างข้อมูลอินสแตนซ์ที่ถูกละเมิด กู้คืนจากข้อมูลสำรองที่สะอาด จากนั้นฉันจึงใช้เวลาหกชั่วโมงทันทีในแต่ละเครื่องเพื่อแพตช์และเสริมความแข็งแกร่งให้กับมัน อินสแตนซ์ Wordpress เดียวที่ไม่ได้แพตช์ในแต่ละเซิร์ฟเวอร์ทำให้เซิร์ฟเวอร์เหล่านั้นถูกเจาะและพยายามกระจายมัลแวร์ ซึ่ง IDS/IPS ของฉันตรวจพบ นี่เป็นการตั้งค่าเครือข่ายระดับองค์กร ดังนั้นฉันจึงมีเวลา โครงสร้างพื้นฐาน และเงินที่จะใส่ การป้องกันทั้งหมดอยู่ในนั้น คุณจะไม่มีสิ่งนี้ในเซิร์ฟเวอร์ทั่วไปหรือการตั้งค่าเครือข่ายที่อยู่อาศัย