2009. május 11., hétfő

Betörésészlelés Windows alatt (alapok)

Szokatlan naplóbejegyzések
A naplóbejegyzések megtekintéséhez futtassd:
C:\> eventvwr.msc
Gyanús bejegyzések lehetnek:
„Az Eseménynapló szolgáltatás leállt” (Event log service was stopped). A naplózás leállt, de ha a gép tovább működött, akkor ez nem rendeltetésszerű.
„A Windows fájlvédelem nem aktív a rendszerben” (Windows File Protection is not active on this system). Több fájlt is „figyel” a rendszer, és illetéktelen változás esetén helyrehozza őket (egy cache-ből visszamásolja az eredetit), így gyanús a kikapcsolt állapot, ld. Sajátgép→Eszközök→Mappa beállításai→ Nézet→Az operációs rendszer védett fájljainak elrejtése (My Computer→Tools→Folder Options→View→Hide protected operating system files).
„A Microsoft Telnet szolgáltatás sikeresen elindult” (The MS Telnet Service has started successfully). Alaphelyzetben nincs szükség a szolgáltatásra, így ha elindult, akkor gyanús, hogy kapcsolódást akarnak a gépünkkel.
Nézz utána a nagyszámú hibás bejelentkezésnek vagy kizárt azonosítónak (jogosulatlan jelszópróbálkozások jelei).
A listában az egyes oszlopok fejlécein kattintva egyet vagy kettőt növekvő ill. csökkenő sorrendbe állíthatók az adott oszlop szerint az események, így könnyebb átnézni őket.
A Művelet (Action) és Nézet (View) menükben beállíthatók a naplózás paraméterei.

Kiegészítő segédeszközök

A következő eszközök nem részei az operációs rendszernek, de a rendszer mélyebb biztonsági elemzésére használhatók. Mindegyik szabadon letölthető és használható.
- Nagyon sok rendkívül hasznos eszköz és webhopp:
http://www.sysinternals.com
Különösen a *mon eszközök hasznosak (Filemon, PMon, Regmon, Portmon), de a PsTools és a Process Explorer is jó, ha a CD-re írt túlélőkészlet része.
- Fájlok sértetlenségének (központi, több gépre alkalmazható) ellenőrzéséhez:
http://osiris.shmoo.com/download.html
- Windows rendszerekhez elérhető az MBSA nevű eszköz, amellyel sok biztonsági beállítás tesztelhető le, és a helyes beállításokhoz segítséget is az elemzés után:
http://tinyurl.com/2e5fe
- Windows 2000 Resource Kit Tools:
http://tinyurl.com/1px9
Különösen a pulist és a pstat parancsok mutatnak részletes információt a futó processzekről, de sokszor (ha nem elég profi a támadó, hogy elrejtse tevékenységét) a CTRL+ALT+DEL billentyűk sorrendben történő lenyomására előbukkanó ablak Feladatkezelő (Task Manager) részében is észrevehető, hogy mi okozza a nagy terhelést. Parancssorból:
C:\> taskmgr.exe

Szokatlan processzek
Szokatlan processzek után lehet kutatni a Feladatkezelőben (Task Manager) (CTRL+ALT+DEL, vagy taskmgr.exe)
Érdemes megjegyezni, hogy mi fut alapból (telepítés után). Amelyiknek nem tudjuk a szerepét, arra keressünk rá egy internetes keresőben a ’security’ szóval együtt. Windows XP és 2003 rendszerekben a „SYSTEM” vagy „Rendszergazda (Administrator)” és az utóbbi csoportba tartozó felhasználókra kell jobban figyelni.
Nézz utána a szokatlan hálózati forgalomnak:
C:\> net start
Érdemes megnézni a parancs kimenetét hálózat nélküli időben és hálózati kapcsolat során többször is (egy-egy alkalmazás indítása előtt, közben, után).

Szokatlan fájlok

Ellenőrizd a fájlok méretét és a lemeztelített-séget (a feltört gépekre sokszor felkerülnek nagyméretű fájlok, amelyeket másoknak kínálnak fel vagy letöltésre, ezek többnyire szerzői jogot is sértő fájlok). Jobb klikk a partíción állva az egérrel, vagy: C:\> dir c:\ (az utolsó sor kiírja a szabad lemezterületet).
A Start→Keresés (Search)→Fájlok és mappák (For Files or Folders...) segítségével adott méretnél (ld. Keresési opcióknál) nagyobb fájlokat kereshetsz.

Szokatlan hálózati jelenségek

Nézd meg a megosztásaidat, és ellenőrizd, hogy szükséges-e mindnek a fenntartása, de törölni is csak akkor törölj egy megosztást, ha utánajártál, hogy mi a következménye ennek.
C:\> net view \\computer_name
C:\> net share
Nézd meg, ki nyitott kapcsolatot a gépeddel:
C:\> net session
Nézd meg, géped kivel nyitott kapcsolatot:
C:\> net use
TCP/IP feletti NetBIOS tevékenység:
C:\> nbtstat –S
Gyanús készenlét TCP és UDP portokon:
C:\> netstat –na |more
Folyamatos frissítés 5 mp-enként (CTRL+C-vel leállítható)
C:\> netstat –na 5
Az XP és 2003 verziókban van ’–o’ kapcsoló, mely megmutatja a saját processz számát:
C:\> netstat –nao 5
Ezek esetében is ismerni kell a normális működést, hogy észlelhessük az eltéréseket. Érdemes a helpet is használni a további lehetőségek megismeréséhez:
C:\> net help
C:\> netstat help

Szokatlan időzített feladatok

Nézd meg az időzített feladatokat a helyi rendszerben:
C:\> at
Használható a grafikus felület is:
Start→Programok→Kellékek (Accessories)→Rendszereszközök (SystemTools)→Ütemezett feladatok (Scheduled Tasks)
A szokatlan feladatokat kell keresni, különösen azokat, amelyek az Rendszergazdák (Adminisztrátor) csoportba tartozók nevében fut SYSTEM-ként vagy üres felhasználói névvel.

Szokatlan azonosítók

Adminisztrátorok csoportja:
C:\> lusrmgr.msc
Klikk a Csoportok (Groups), majd azon belül az Rendszergazdák (Administrator) sorra, melyen belül megtekinthető a tagok listája. Ajánlatos a programtelepítéseket a rendszer-gazdai azonosító alól végezni, de a mindennapi használat során egy másik azonosító alól dolgozni. Ez a másik azonosító ne legyen a rendszergazda jogú csoport tagja, így ha ezt az azonosítót feltörik, még nem férnek hozzá a teljes rendszerhez.

Forrás: cert.hu

Betörésészlelés Linux alatt (alapok)

Szokatlan azonosítók
Nézz bele a /etc/passwd fájlba új és főként 0-ás UID vagy GID azonosítók után kutatva:
# less /etc/passwd
# grep :0: /etc/passwd
A normális azonosítók is a listában lesznek, de az új, nem várt azonosítókat kell észlelni. Az elütő jogosultságok és tulajdonosok is kitűnnek a /bin és /lib alatt az ls –la kimenetében (default chmod/chown rootkit beállítások).

Szokatlan naplóbejegyzések
Nézd át a rendszer naplófájljait gyanús események után kutatva, beleértve ezeket is:
Promiscuous (válogatás nélküli csomagelkapás) mód: „entered promiscuous mode”, azaz minden csomagot elkapó módba lépett.
Nagyszámú sikertelen hitelesítés vagy belépés helyi vagy távoli belépést adó eszközzel (pl. telnetd, sshd stb.).
A naplóbejegyzéseket takarítani is szokták a támadók a nyomok eltűntetésére, ezért érdemes szokatlanul hosszú hiányzó időintervallumokat keresni a naplókban. Web-szerverek esetében: nagyszámú Apache „error” szót tartalmazó naplóbejegyzésre kell keresni.

Kiegészítő segédeszközök
A következő eszközök legtöbbször be vannak épít-ve a Linuxba, de a rendszer biztonsági állapotá-nak részletesebb elemzésére is használhatók:
A Chrootkit a felhasználói vagy kernel-szintű RootKit-ek által eredményezett anomáliákat ku-tatja a rendszerben (utólag is segíthet)
http://www.chkrootkit.org – ingyenes
A Tripwire a kritikus rendszerfájlok változásait kutatja (utólag már kevésbé hasznos)
http://www.tripwire.org (szabadon elérhető verzió: http://sourceforge.net/projects/tripwire)
Az AIDE is a kritikus rendszerfájlok változásait figyeli (ez sem segít sokat utólag)
http://www.cs.tut.fi/~rammer/aide.html
A Tripwire és az AIDE használatát el kell kezdeni már a telepítés után, még a hálózatra kapcsolódás előtt.
Nagyon fontos, hogy feltört vagy gyanús gépről ne lépjünk be másik gépre még SSH-val sem, és ha megtettük, akkor azokon a gépeken is vizsgálód-junk, és változtassunk jelszót! Ha az adott gépen nem tudunk dolgozni, akkor kívülről is lehet vizsgálódni (portscan, nmap), de a kapott válaszokban ekkor sem kell feltétel nélkül megbízni (pl. lehet hátsó bejárat a kívülről nézve normálisan szolgáltató Web-szerverben is).

Szokatlan processzek
Futó alkalmazások megtekintése (ha a támadó a lekérdező parancsokat lecserélhette, akkor a /proc bejegyzéseket kell vizsgálni):
# ps –aux
Ismerni kell a „normális” működés során futó alkalmazásokat. Kutatni kell a szokatlan alkalmazásokat, különösen a root jogokkal (UID 0) futó alkalmazásokat kell figyelni.
Ha kiszúrunk egy ismeretlen alkalmazást, vizsgáljuk ki a szokatlanságot ezzel:
# lsof –p [pid]
Betöltött rosszindulatú kernelmodul ellen csak a clean reboot véd, ezért legyen egy ilyen rendszerünk kéznél (pl. Knoppix boot CD).

Szokatlan fájlok 1.
Utánanézünk: a szokatlan SUID root fájloknak és nagy fájloknak (ismerni kell a normális SUID és nagy fájlokat):
# find / -type f -perm +7000 –ls vagy inkább:
# find / \( -uid 0 -or -gid 0 \) -perm +7000 -ls
# find / -size +10000k –ls
Utánanézünk a ponttal kezdődő nevű fájloknak kivéve a /home és /tmp mappákat:
# find / \( -not \( -path '/home/*' -or -path '/tmp/*' \) \) -name '.*' -ls
Mindenféle szokatlan állománynév kiszűrése:
# find / \( -not \( -path '/home/*' -or -path '/tmp/*' \) \) -name '*[^a-zA-Z0-9_. ]*' -ls

Szokatlan fájlok 2.
Egy RPM-mel telepített (pl. RedHat) Linux esetén futtassuk ezt a parancsot:
# rpm –Va //Debian esetén: debsums
Különös figyelemmel kell lenni az eltérésekre a (/usr)/sbin és a (/usr)/bin alkönyvtárakban. Pl. nem man formátumú fájl a /man alatt, vagy nem a csomagba tartozva felkerült fájlok. 1-1 példa:
# find /bin -exec file {} \; | grep -v ELF
# find /*bin /usr/*bin -exec dpkg -S {} \; | grep 'not found'
Könyvtári függvény felülbírálást lehetővé tevő LD_PRELOAD környezeti változók beállításának keresése legalább a /etc-ben és a cron-ban.
SSH host-kulcsok változásának figyelése (továbblépés másik gépre veszélyes)!

Szokatlan hálózati működés 1.
A „válogatás nélkül” módot kell kutatni, mert ez lehallgatóra (sniffer) utalhat:
# ip link | grep PROMISC
A nem elsődleges routing tábla is fontos. Minden routing paraméter lekérdezése (nem kellemes olvasmány, de a támadó tehet routing bejegyzéséket, amit átlagos felhasználó sose nézne meg):
# ip route ls table 0
Sok levelet küld-e a gép (spam küldésre használják, csak azért törték fel):
# tcpdump -i eth0 dst port 25

Szokatlan hálózati működés 2.
Keresés szokatlan portokon figyelőkre:
# lsof –i
# netstat –nlp
Ismerni kell, mely TCP és UDP portokon figyel egy normális alkalmazás, és az ettől való eltérést kell figyelni.
Figyelni kell a szokatlan ARP bejegyzésekre, a MAC címre leképzett IP címekre, amelyek nem szabályosak a LAN-nak:
# arp –a
Szükséges ismerni, hogy mi feltételezhető, hogy a LAN-on van.

Szokatlan időzített processzek
Ellenőrizni kell a cron-ból futó root vagy bármelyik UID 0 azonosítójú felhasználó által időzített feladatokat:
# crontab –u root –l
Figyelni kell a szokatlan rendszert-érintő cron feladatokra:
# cat /etc/crontab
# ls /etc/cron.*
Szokatlan időzített processzeket az atd is indíthat (ld. még at és atq parancsok leírását a man-ban), így ezekre is figyelni kell (a root által indított atq minden futó processzt kilistáz).

Forrás: cert.hu

2009. május 1., péntek

Éljen május elseje! :)

Válogatás az informatukus humorból 2.

Alien május elseje!

Holnapután meg május első vasárnapja, a nyák napja!
Olyan nincs, hogy valami nem sörnyitó!