В предыдущей
статье мы рассмотрели меры по защите от Web-атак,
сегодня продолжим и рассмотрим несколько
других нападений. 

Web-атака с соединением с IRC

Суть нападения практически аналогична
предыдущим, только хакер попытался загрузить
бинарник для коннекта к IRC Сети:

09:45:35.778913 IP 12.205.151.144.6667 > 10.0.0.120.48298:
P 1:44(43) ack 1 win 724

...
0x0030: xxxx xxxx 4e4f 5449 4345 2041 5554 4820 ....NOTICE.AUTH.
0x0040: 3a2a 2a2a 204c 6f6f 6b69 6e67 2075 7020 :***.Looking.up.
0x0050: 796f 7572 2068 6f73 746e 616d 650d 0a   your.hostname..

Такой трафик легко засечь Snort-ом, такие
сигнатуры прописаны например в Bleeding-Snort.
Кроме того такая атака вызовет массу
попыток соединения с 80 портом, что должен
засечь система слежения за портами IDS.
Полезно так же в случае возникновения
подозрений изучить DNS логи - в стандартной
ситуации вряд ли кто-либо из сервисов
запросит А записи evil.irc.example.net. Для этого
есть масса инструментов, например argus
- программа сохраняет логи для последующего
аудита.

Взлом браузера, DNS и e-mail

Рассмотрим еще один типичный инцидент -
взлом одной из машин университетского
кампуса при помощи дыры в броузере.
Эксплоит изменил настройки DNS на локальном
компьютере. Взлом был быстро
зарегистрирован, ведь каждая машина в
локальной сети использовала местный DNS
сервер и внешние запросы быстро выдали
проникновение. На файрволе, отвечающем за
сеть, был заблокирован 53 TCP и UDP порт, машина
вылечена. Для предотвращения таких
поражений, а так же загрузки malware-аттачей
через почту в сети достаточно поставить web-прокси
для фильтрования входящего трафика.
Администратору предстоит только вовремя
обновлять базу сигнатур.

SSH-атака: brute-force пароля

Другой сервер в нашей университетской
сети был взломан подбором пароля к SSH. В
настоящее время существует несколько
версий червей, которые автоматически ищут
открытые 22 порты пытаются подобрать пароль.
За один уикэнд другой сервер получил более
200.000 SYN пактов в попытке подобрать пароль к
SSH демону. Это пробудило нашу IDS. Кроме того
взломщик пытался разослать фишинговое
письмо пользователям eBay, но это не прошло из-за
блока 25 порта на файрволе, все в сети
использовали внутренний почтовый сервер.

Атакующий помимо этого традиционно
попытался применить ряд эксплоитов в
попытке получить root-привилегии, но и это ему
не удалось. Но удалось установить IRC клиент,
присоединив машину к ботнету. 

Для предотвращения подобного рода атак
стоит убедиться, что все внутри сети
используют внутренний почтовый сервер. На
нем стоит построить надежный файрвол и
ограничить количество отсылаемых писем.
Это остановит e-mail черви от размножения. так
же можно сконфигурировать Snort на слежение
за многочисленными попытками соединения с
25 и 22 портами. Для ограничения
неавторизованного доступа стоит
использовать стойкие пароли. Убедиться в
том стойкий он или нет можно просто -
попробовать сбрутфорсить его самому. Если
вы регистрируете многочисленные попытки
подбора пароля, то можно переместить SSH
демон на другой порт, это значительно
уменьшит количество "червивых" атак.
Вполне возможно вместо пароля использовать
пару ключей, но это во многом зависит от
пользователей, который использую сервис.
Многие еще могу смириться с SSH, но
использование ключей для них настоящий
темный лес. Так или иначе внедрить ключи не
так сложно, а безопасность будет
значительно укреплена.
Защита
SSH №1

Защита SSH №2

Ключи в OpenSSH

После взлома

После взлома компьютера его всегда надо
переустановить из надежного дистрибутива.
Только данные целесообразно восстанавливать
из бекапа. Но прежде всего конечно стоит
понять как взлом был осуществлен, ведь
восстанавливать компьютер в прежнее
уязвимое состояние - нелепое занятие. Для
осознания проблемы полезно использовать
логи. Основные направления загрузки
инструментов хакера после взлома - wget, tftp, ftp
и curl, возможно использование Perl-а в качестве
простого шелла. Кроме того после взлома
нападающие пытаются получить
административные привилегии, если это не
удалось - все равно подключить машину к
своему ботнету через IRC или разослать почту.
Соответственно, зная эти направления, и
нужно укреплять оборону, закрывая порты и
настраивая системы обнаружения вторжения.
Целесообразно настроить и регулярно
обновлять IDS на ловлю всего "неожиданного"
поведения компьютеров, особенно если
нельзя сузить области обороны вашей сети, а
так же использовать анализаторы логов для
определения происходящего.

Помните - предотвратить проще, чем лечить.
Регулярные патчи, настройка файрвола,
просмотр логов, разумное обеспечение
остальных мер безопасности - вот залог
вашей безопасности. Моя сеть - моя крепость.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии