應(yīng)急響應(yīng)有一半是非技術(shù)的內(nèi)容，制定一個(gè)合理的響應(yīng)策略是至關(guān)重要的！

記?。含F(xiàn)在開(kāi)始對(duì)受害系統(tǒng)的每一步操作都可能改變已存在的證據(jù)或是導(dǎo)致敏感信息的丟失！

{{初始響應(yīng)}}

目標(biāo):在進(jìn)行司法鑒定復(fù)制之前獲得系統(tǒng)中的易失數(shù)據(jù)，初步確定突發(fā)事件概況。

==============

創(chuàng)建響應(yīng)工具包

==============

我們調(diào)查系統(tǒng)，必須以高度可信賴的程序執(zhí)行命令，再加上備份與修復(fù)，創(chuàng)建一個(gè)工具包是很有必要的。

即使在非Unix/Linux系統(tǒng)上，創(chuàng)建工具包也應(yīng)該作為響應(yīng)的第一步。

首先，我們需要在對(duì)應(yīng)體系結(jié)構(gòu)的系統(tǒng)上編譯響應(yīng)期間需要的工具，且編譯程序需要考慮系統(tǒng)兼容的問(wèn)題。

通常我們需要如下的工具：

ls dd des file pkginfo

find icat lsof md5sum nc

netstat pcat perl ps strace

strings truss df vi

cat kstat ifconfig chkrootkit

more gzip last w rm

script bash modinfo lsmod

讀者可根據(jù)自己的需要自行添加，但是一個(gè)工具包通常只能用來(lái)完成對(duì)某一特定平臺(tái)的工作，

把對(duì)多個(gè)平臺(tái)編譯的工具放進(jìn)同一個(gè)工具包反而會(huì)顯得紊亂。

在Linux上創(chuàng)建響應(yīng)工具包時(shí)，可以用gcc的–static參數(shù)編譯源代碼，或者用ldd檢查動(dòng)態(tài)連接庫(kù)，

在響應(yīng)工具包存儲(chǔ)介質(zhì)上建立庫(kù)文件目錄，并拷貝所有工具需要的動(dòng)態(tài)連接庫(kù)的副本，最后設(shè)置環(huán)境變量。

這個(gè)過(guò)程有點(diǎn)類似于創(chuàng)建一個(gè)Linux的優(yōu)盤啟動(dòng)盤。

============

獲取易失數(shù)據(jù)

============

易失的數(shù)據(jù)包括：當(dāng)前打開(kāi)的套接字，進(jìn)程列表，RAM內(nèi)容，非鏈接文件的位置。

*unix特性： unix允許進(jìn)程正在執(zhí)行時(shí)將其刪除！

非鏈接文件是訪問(wèn)該文件的進(jìn)程中止時(shí)被標(biāo)記為刪除的文件。當(dāng)系統(tǒng)關(guān)閉時(shí)（正常關(guān)機(jī)或突然斷電非正常關(guān)機(jī)），

標(biāo)記為刪除的文件都將消失。因此在找到被標(biāo)記為刪除的文件之前不能關(guān)機(jī)！

=================

執(zhí)行可信賴的shell

=================

使用我們自己準(zhǔn)備的響應(yīng)工具包，裝載該介質(zhì)的文件系統(tǒng)，

mount –t auto /dev/sda1 /mnt/usb 或

mount –t iso9660 /dev/cdrom /mnt/cdrom

按下Ctrl+Alt+F1~F6,從控制臺(tái)以root身份登陸。

請(qǐng)一定要區(qū)分原環(huán)境變量中的命令和當(dāng)前響應(yīng)工具包的相同名字的命令集，防止?jié)撛诘亩M(jìn)制特洛伊木馬攻擊。

==================

查看登陸系統(tǒng)的用戶

==================

[root@ay4z3ro foo]# w

19:50:48 up 43 min, 2 users, load average: 0.00, 0.00, 0.00

USER TTY LOGIN@ IDLE JCPU PCPU WHAT

root :0 19:08 ?xdm? 11.10s 0.43s gnome-session

root pts/0 19:08 1.00s 0.21s 0.01s w

輸出標(biāo)題行顯示了當(dāng)前系統(tǒng)時(shí)間，該系統(tǒng)已運(yùn)行的時(shí)間，當(dāng)前登陸用戶數(shù)，最近1分鐘，5分鐘和15分鐘內(nèi)的平均系統(tǒng)負(fù)載。

USER字段顯示當(dāng)前登陸的用戶名。TTY字段顯示了會(huì)話的控制終端，tty表示從控制臺(tái)登陸，pts/typ則可以表示通過(guò)一個(gè)網(wǎng)絡(luò)連接，

因?yàn)閄是個(gè)C/S模式的應(yīng)用程序，所以我在GNOME下開(kāi)的shell窗口顯示為pts。如果不從本地登陸，輸出中還有FROM字段,

表示建立會(huì)話的源地址的域名或IP。LOGIN@顯示該連接的本地開(kāi)始時(shí)間。IDLE字段顯示了自上一個(gè)進(jìn)程運(yùn)行以來(lái)的時(shí)間長(zhǎng)度。

JCPU顯示與tty或pts關(guān)聯(lián)的全部進(jìn)程所使用的時(shí)間。PCPU字段顯示了WHAT列中當(dāng)前進(jìn)程所使用的CPU時(shí)間。WHAT列顯示用戶當(dāng)前運(yùn)行的進(jìn)程。

================

查看系統(tǒng)進(jìn)程列表

================

Solaris中使用ps –eaf,而在FreeBSD和Linux中則使用ps –aux.

[root@ay4z3ro foo]# ps aux

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

root 1 0.1 0.2 1356 496 ? S 19:07 0:04 init

root 2 0.0 0.0 0 0 ? SW 19:07 0:00 [keventd]

root 3 0.0 0.0 0 0 ? SWN 19:07 0:00 [ksoftirqd_CPU0]

root 4 0.0 0.0 0 0 ? SW 19:07 0:00 [kswapd]

root 5 0.0 0.0 0 0 ? SW 19:07 0:00 [bdflush]

root 6 0.0 0.0 0 0 ? SW 19:07 0:00 [kupdated]

root 7 0.0 0.0 0 0 ? SW< 19:07 0:00 [mdrecoveryd]

root 11 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]

root 114 0.0 0.5 2108 1304 ? S 19:07 0:00 devfsd /dev

root 209 0.0 0.0 0 0 ? SW 19:07 0:00 [khubd]

root 338 0.0 0.0 0 0 ? SW 19:07 0:00 [kjournald]

rpc 620 0.0 0.2 1496 520 ? S 19:07 0:00 [portmap]

root 636 0.0 0.2 1452 624 ? S 19:07 0:00 syslogd -m 0

…………………（以下省略）

Ps命令輸出中的START字段顯示了程序開(kāi)始運(yùn)行的時(shí)間，對(duì)于查出攻擊時(shí)間很有幫助。有時(shí)僅通過(guò)時(shí)間就能識(shí)別可疑進(jìn)程。

Linux下還可以通過(guò)strings –f /proc/[0-9]*/cmdline來(lái)查看系統(tǒng)中運(yùn)行進(jìn)程的完整命令行參數(shù)，但是這個(gè)并不完全可信。

因?yàn)楣粽呱踔敛恍枰迦雰?nèi)核模塊，而只在應(yīng)用層的編碼中加入語(yǔ)句就能欺騙我們。

===============

檢測(cè)LKM Rootkit

===============

內(nèi)核模塊后門,還有什么比這個(gè)更臭屁的呢？Solaris,Linux和幾乎所有的Unix都支持LKM(Loadable Kernel Modules),

用普通的方法無(wú)法檢測(cè)其存在，這給應(yīng)急響應(yīng)帶來(lái)了極大的挑戰(zhàn)性。對(duì)于我們來(lái)說(shuō)，解決的辦法是找到那些lkm rootkit，

并熟悉，解剖他們。有時(shí)lkm rootkit雖然被成功裝載，但在系統(tǒng)的某些細(xì)節(jié)上會(huì)出現(xiàn)“異常，甚至可能使系統(tǒng)在運(yùn)行一段時(shí)間后徹底崩潰。

還有，lkm雖然活動(dòng)在ring0核心態(tài)，但是攻擊者往往會(huì)在系統(tǒng)的某處留下痕跡，比如攻擊者為了讓系統(tǒng)每次關(guān)閉或重啟后能自動(dòng)裝入他安置的

內(nèi)核后門，可能會(huì)改寫/etc/modules.conf或/etc/rc.local.

kstat/ksec是檢測(cè)lkm非常方便的工具,前者用于Linux，后者用于*BSD.

[root@ay4z3ro kstat]# ./kstat

Usage: ./kstat [-i iff] [-P] [-p pid] [-M] [-m addr] [-s]

-i iff may be specifIEd as 'all' or as name (e.g. eth0)

displays info about the queried interface

-P displays all processes

-p pid is the process id of the queried task

-M displays the kernel's LKMs' linked list

-m addr is the hex address of the queried module

displays info about the module to be found at addr

-s displays info about the system calls' table

其中-s參數(shù)最有用，它顯示了系統(tǒng)調(diào)用入口的信息，能檢測(cè)市面上最流行的knark和adore這兩個(gè)內(nèi)核后門，

但理論上他并不能檢測(cè)出所有的lkm rootkit.

Kstat/ksec站點(diǎn)：http://www.s0ftpj.org

其實(shí)熟悉內(nèi)核攻擊的人都知道Kstat單純檢查sys_call_table[]的方式如今已經(jīng)

被攻擊的一方完全超越，e4gle很早也寫過(guò)這類文章。

有興趣可以看看2002焦點(diǎn)峰會(huì)jbtzhm的《內(nèi)核后門實(shí)現(xiàn)及其檢測(cè)》

現(xiàn)在Linuxforum安全版版主madsys在Phrack61上有篇文章：

Finding hidden kernel modules (the extrem way)--鏈接：

http://www.linuxforum.net/forum/gshowflat.php?Cat=&Board=security&Number=434871&page=0&vIEw=collapsed&sb=5&o=all&fpart=

======================

檢測(cè)開(kāi)放端口和關(guān)聯(lián)進(jìn)程

======================

[root@ay4z3ro foo]# netstat –anp

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 908/X

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 880/sshd

udp 0 0 0.0.0.0:111 0.0.0.0:* 620/

Active Unix domain sockets (servers and established)

Proto RefCnt Flags Type State I-Node PID/Program name Path

unix 2 [ ACC ] STREAM LISTENING 2753 756/ /tmp/.font-unix/fs-1

……（以下省略）

在Solaris,HP-UX,AIX,FreeBSD,Linux上可以使用lsof工具列舉所有運(yùn)行進(jìn)程及其所打開(kāi)的文件描述符，其中包括常規(guī)文件，

庫(kù)文件，目錄，UNIX流，套接字等。如果只想顯示網(wǎng)絡(luò)套接字的進(jìn)程：

[root@ay4z3ro foo]# lsof –i

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

portmap 620 rpc 3u IPv4 2598 UDP *:sunrpc

portmap 620 rpc 4u IPv4 2609 TCP *:sunrpc (LISTEN)

sshd 880 root 3u IPv4 2885 TCP *:ssh (LISTEN)

X 908 root 1u IPv4 2945 TCP *:x11 (LISTEN)

其中特別需要注意的是奇怪的進(jìn)程和已打開(kāi)的原始套接字。

================================

尋找系統(tǒng)中是否運(yùn)行一個(gè)非法嗅探器

================================

為了達(dá)到這個(gè)目的，我們需要檢查網(wǎng)卡是否處于混雜(promiscuous)模式:

[root@ay4z3ro foo]# ifconfig –i eth0 | grep PROMISC

PROMISC標(biāo)志并不會(huì)在所有的*NIX上出現(xiàn)，通過(guò)lsof+ps命令可以判斷系統(tǒng)是否正運(yùn)行一個(gè)嗅探器?；蛘咄ㄟ^(guò)第三方的工具，比如AntiSniff。

=================

檢查/proc文件系統(tǒng)

=================

在/proc/$PID/目錄下對(duì)于調(diào)查比較有意義的是：exe鏈接，fd子目錄，cmdline文件。

[root@ay4z3ro 880]# ls -al

total 0

dr-xr-xr-x 3 root root 0 Sep 20 19:53 ./

dr-xr-xr-x 62 root root 0 Sep 20 15:07 ../

-r--r--r-- 1 root root 0 Sep 20 19:54 binfmt

-r--r--r-- 1 root root 0 Sep 20 19:54 cmdline

lrwxrwxrwx 1 root root 0 Sep 20 19:54 cwd -> //

-r-------- 1 root root 0 Sep 20 19:54 environ

lrwxrwxrwx 1 root root 0 Sep 20 19:54 exe -> /usr/sbin/sshd*

dr-x------ 2 root root 0 Sep 20 19:54 fd/

-r--r--r-- 1 root root 0 Sep 20 19:54 maps

-rw------- 1 root root 0 Sep 20 19:54 mem

-r--r--r-- 1 root root 0 Sep 20 19:54 mounts

lrwxrwxrwx 1 root root 0 Sep 20 19:54 root -> //

-r--r--r-- 1 root root 0 Sep 20 19:54 stat

-r--r--r-- 1 root root 0 Sep 20 19:54 statm

-r--r--r-- 1 root root 0 Sep 20 19:54 status

Exe鏈接允許我們恢復(fù)被刪除的文件，只要這些文件仍然運(yùn)行。為獲得“已刪除可執(zhí)行文件的備份，只需要使用cp命令在該文件系統(tǒng)上

創(chuàng)建一個(gè)拷貝就行。通過(guò)檢查fd子目錄，可以識(shí)別該進(jìn)程打開(kāi)的所有文件。如果對(duì)Unix環(huán)境下的編程有所了解的話，很容易就能發(fā)現(xiàn)

是在讀寫一個(gè)文件還是打開(kāi)一個(gè)網(wǎng)絡(luò)連接。cmdline文件的內(nèi)容是該進(jìn)程的完整命令行。以下語(yǔ)句是攻擊者的欺騙手段,

strcpy(argv[0],any_string);

這樣該文件就顯示了一種假象，即使如此，我們?nèi)杂斜匾獧z查此文件。

==================================

獲取所有文件的創(chuàng)建，修改和訪問(wèn)時(shí)間

==================================

ls –alRu > /mnt/usb/access

ls –alRc > /mnt/usb/modification

ls –alR > /mnt/usb/creation

============

獲取系統(tǒng)日志

============

大多數(shù)UNIX的日志在/var/log和/var/adm目錄下，各種UNIX派生系統(tǒng)日志的具體位置有所不同。

在此之前，有必要了解針對(duì)特定系統(tǒng)的日志存貯位置。

比較重要的二進(jìn)制日志文件：

utmp,用w工具訪問(wèn)；

wtmp,用last工具訪問(wèn)；

lastlog,用lastlog工具訪問(wèn)；

進(jìn)程記賬日志,用astcomm工具訪問(wèn)

常見(jiàn)的ASCII文本日志文件：

apache日志--/var/log/httpd/access_log；

ftp日志—xferlog；

命令歷史記錄文件；

/var/log/messages;

檢查/etc/syslog.conf以及其他守護(hù)進(jìn)程的配置文件以確定其余日志的位置。

================

獲取重要配置文件

================

檢查各配置文件查找后門位置，未授權(quán)的信任關(guān)系和未授權(quán)的用戶ID。

/etc/passwd，查找未授權(quán)的用戶帳號(hào)和權(quán)限。初級(jí)的入侵者會(huì)添加uid=0的用戶，

有人也會(huì)把系統(tǒng)中一個(gè)不起眼的原本沒(méi)有shell的普通賬戶改成可登陸獲得shell執(zhí)行命令，

然后他可以通過(guò)一個(gè)suid位的ksh或其他的安置在本地的后門馬上得到rootshell.

/etc/shadow,確保每個(gè)用戶都有密碼認(rèn)證；當(dāng)然攻擊者給自己的賬戶加一個(gè)md5 hash其實(shí)也是非常簡(jiǎn)單的事。

/etc/groups,查找權(quán)限的升級(jí)和訪問(wèn)范圍的擴(kuò)大。

/etc/hosts,列出本地DNS條目。

/etc/hosts.equiv,檢查信任關(guān)系。

~/.rhosts,檢查基于用戶的信任關(guān)系，++這種很濫的后門相信大家都知道。

/etc/hosts.allow && /etc/hosts.deny 檢查tcpwrapper的規(guī)則。

/etc/rc*,檢查啟動(dòng)文件。

Crontab文件，列出計(jì)劃事件。

/etc/inetd.conf,列出端口所監(jiān)聽(tīng)的服務(wù)。

===========

轉(zhuǎn)儲(chǔ)系統(tǒng)RAM

===========

主要是從系統(tǒng)轉(zhuǎn)移/proc/kmem或/proc/kcore文件，該文件以非連續(xù)方式包含系統(tǒng)RAM的內(nèi)容。

{{深入調(diào)查}}

============

檢查系統(tǒng)日志

============

Unix有很多日志，這些為應(yīng)急響應(yīng)提供重要的線索。日志文件大多位于公用目錄，通常是/var/log,或/usr/adm,/var/adm,

有些日志位于禁止訪問(wèn)的/etc目錄。具體請(qǐng)參考當(dāng)前操作體系統(tǒng)文檔。

其中syslogd守護(hù)進(jìn)程提供非常強(qiáng)大的日志功能，比如裝載一個(gè)內(nèi)核模塊的登記，其配置文件為/etc/syslog.conf，

通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三個(gè)字段：

facility字段表示產(chǎn)生該日志文件的子系統(tǒng)；priority字段表明事件的嚴(yán)重級(jí)別；

action字段表明如何記錄日志，它提供了遠(yuǎn)程網(wǎng)絡(luò)記錄的能力。

TCP wrapper日志也利用syslog記錄，其中可能會(huì)有telnet,ssh,ftp等遠(yuǎn)程登錄的信息。這些日志中有很多有價(jià)值的條目：

嘗試登陸的時(shí)間日期，主機(jī)名稱，訪問(wèn)的服務(wù)類型，以及源IP地址。

其他的網(wǎng)絡(luò)日志比如，web,ftp,sql通常自身都提供了較為詳細(xì)的信息。Apache默認(rèn)日志在/usr/local/apache/logs,

最有用的日志是access_log,還有ssl_request_log,ssl_engine_log也能提供有價(jià)值的信息。其中可能包含攻擊前的掃描記錄。

Su命令日志，記錄了每一次執(zhí)行su命令的動(dòng)作：時(shí)間日期，成功與否，終端設(shè)備，用戶ID.有些Unix具有單獨(dú)的su日志，

有些則保存在syslog中。

登陸用戶日志：utmp或wtmp文件保存了有關(guān)當(dāng)前登陸到系統(tǒng)的用戶的信息。此文件根據(jù)各UNIX版本的不同，

名稱及存儲(chǔ)位置有所差異。保存的基本信息是用戶名，用于登陸的終端以及登陸的時(shí)間。文件以二進(jìn)制格式存儲(chǔ)。

查詢utmp,wtmp文件應(yīng)使用適當(dāng)?shù)目蛻舳?，如w,who,finger,last.檢索成功，失敗與用戶名未知的登陸條目。

Cron日志記錄了定時(shí)作業(yè)的內(nèi)容，通常在/var/log/cron或默認(rèn)日志目錄中一個(gè)稱為cron的文件里。

進(jìn)程記賬，如果系統(tǒng)存在acct或pacct日志文件，則可使用lastcomm或acctcom命令查看。該日志為二進(jìn)制文件。

Shell歷史記錄：

[root@ay4z3ro foo]# less ~/.bash_history

如果.bash_history被鏈接到/dev/null文件，或者環(huán)境變量中的$HISTFILE,$HISTFILESIZE兩個(gè)變量值為0，那么肯定有人非法活動(dòng)過(guò)了。

大多數(shù)入侵者都會(huì)修改或刪除日志，雖然理論上能夠做到除種植lkm rootkit之外幾乎不留任何痕跡，但在實(shí)際入侵中，

善后工作實(shí)際上是個(gè)不小的工程，不僅依賴入侵者對(duì)系統(tǒng)的熟知程度，而且當(dāng)處理過(guò)多繁瑣的內(nèi)容時(shí)，疏忽很容易出現(xiàn)。比如:剛得到

rootshell時(shí)unset HISTFILESIZE,退出時(shí)忘了復(fù)原，留下一條痕跡。諸如此類的例子還有很多，日志清除工具是死的，它只會(huì)清除預(yù)定義的

項(xiàng)目，雖然你也能修改源碼，但那樣還是不能隨機(jī)應(yīng)變。最保險(xiǎn)的方法就是手工勞動(dòng)，這樣就加大了入侵者的負(fù)擔(dān)。出于懶惰，

對(duì)系統(tǒng)掌握程度不夠或是各種各樣的原因往往還是會(huì)留下一些對(duì)我們有價(jià)值的東西。所以，檢查日志對(duì)應(yīng)急響應(yīng)來(lái)說(shuō)非常重要。

==============

執(zhí)行關(guān)鍵字搜索

==============

無(wú)論是對(duì)何種操作系統(tǒng)進(jìn)行應(yīng)急響應(yīng)，關(guān)鍵字搜索都是該過(guò)程的一部分。針對(duì)某個(gè)具體事件，可能會(huì)有一些ID,phrase與此事件密切相關(guān)，

執(zhí)行關(guān)鍵字搜索可以找到更多的信息。關(guān)鍵字可以是很長(zhǎng)的ASCII字符串，包括攻擊者后門密碼，用戶名，Mac地址或IP.

例：搜索整個(gè)文件系統(tǒng)中包含ay4z3ro字符串大小寫形式的所有文件：

[root@ay4z3ro foo]# grep –r –i ay4z3ro /

strings命令用于顯示文件中的可打印字符，例如:srings /bin/login用于顯示login后門中的密碼（未加密的明文，編碼或加密后的散列）。

Find命令用于尋找匹配常規(guī)表達(dá)式的任何文件名。例：

在整個(gè)文件系統(tǒng)中搜索名為…的文件或目錄：

[root@ay4z3ro foo]# find / -name “... –print

此外find命令可以匹配的特征還包括：修改訪問(wèn)時(shí)間，文件所有者，文件內(nèi)的字符串，文件名的字符串等。