พึ่งเคยใช้งานครั้งแรกโปรดอ่านที่นี่! howtouse!
x
  • Register
หางานด้าน IT อยู่เหรอ?

หาก server ของเราโดน Hack ควรจะทำอย่างไรบ้าง

+6 votes
ถามเมื่อ Apr 17, 2012 in com-sec ทั่วไป โดย Eggvalue (1,179 คะแนน)
   

3 Answers

+7 votes
 
Best answer
ถ้า Server โดน Hack  ประการแรกที่ต้องทำตามความคิดส่วนตัวของผมนะ คือ

1.ตัดการเชื่อมต่ออินเตอร์เน็ตจากภายนอกทั้งหมดเพราะยังไงก็เสียหายอยู่แล้วยอม Offline Down Link ชั่วคราวทันทีที่รู้ตัวดีกว่าเสียหายมากกว่านี้

2.ถ้ามีระบบสำรองก็ให้ย้ายไปที่ระบบสำรองก่อนให้ใช้งานได้เท่าที่จำเป็น แต่ถ้าไม่มีก็จำเป็นต้องปิดระบบชั่วคราว

3.Back Up Data ทั้งหมดออกมาเท่าที่สามารถทำได้ และตรวจสอบ Log ที่มีอยู่ทั้งของ ระบบ Security และ Server เพื่อดูความเสียหายที่เกิดขึ้น

4.สำรวจความเสียหายที่เกิดขึ้น ไม่ว่าจะเป็นด้านข้อมูล หรือ Application และตรวจสอบช่องโหว่ที่เกิดขึ้นในระบบ Security ว่ามาจากภายในหรือภายนอก ถ้ามาจากภายนอกเราได้ Offline  ไปแล้วก็น่าจะตัดปัญหาไปได้ส่วนหนึ่ง แต่ถ้ามาจากภายในต้องหาต้นตอให้เจอ แต่ถ้าไม่เจองานหนักแน่ ถ้าจำเป็นอาจต้องไล่ปิดทีละระบบ หรือปิดทีละส่วนเพื่อหาต้นตอให้ได้ แล้วกำจัดจุดอ่อนซะ แล้วแจ้งประกาศให้พนักงานตรวจสอบข้อมูลของตนเอง พร้อม Back Up ข้อมูลของตัวเองไว้ เพราะอาจจะต้องมีการลงโปรแกรมเครื่องใหม่ และเปลี่ยนรหัสผ่านใหม่ด้วย

5.ตรวจสอบและเปรียบเทียบ Back Up Data ที่ได้ กับ Back Up Data ครั้งหลังสุดก่อนที่จะโดน Hack ว่ามีข้อมูลอะไรที่เปลี่ยนแปลงหรือโดนแก้ไขหรือไม่ ตรวจสอบกับลูกค้าด้วยถ้าสามารถทำได้ และตรวจสอบให้แน่ใจก่อน Restore Data กลับเข้าไป

6.ในส่วน Server ก็คงต้อง Restore System หรือ Ghost Image ที่ได้ทำไว้ ย้อนกลับไปใหม่ทั้งหมดในส่วนที่เสียหายหรือในส่วนที่โดน Hack พร้อมทั้งเปลี่ยนรหัสใหม่ทั้งหมด

7.ในส่วนของระบบ Network ก็คงต้องไล่ตรวจสอบระบบ และ Config กันอีกรอบ แต่ถ้าจะให้ดีก็คงต้องเอา Back Up Config ที่มีอยู่ใส่เข้าไปใหม่ แต่เปลี่ยนรหัสทั้งหมด

8.ในส่วนของระบบ Security พวก Firewall, IDS, IPS, Antivirus หรืออื่นๆ เท่าทีมีตรวจสอบ Logs ที่เกิดขึ้น ตรวจสอบ Config and Service และปิด Port ที่ไม่ได้ใช้ เปิดเฉพาะเท่าที่จะเป็นเท่านั้น หรือถ้าเป็นไปได้ทำ Pene-Test เพื่อหาช่องโหว่และตรวจสอบระบบ พร้อมทั้งเปลี่ยนรหัสทั้งหมด

9.On ระบบขึ้นมาทีละระบบจนกว่าจะครบทั้งหมดให้แน่ใจ ก่อนที่จะทำการเชื่อมต่ออินเตอร์เน็ตออกสู่ภายนอกอีกครั้ง

10.ให้เก็บหลักฐานในการ Hack ที่สามารถเก็บได้ทั้งหมดแล้วทำการแจ้งความทิ้งไว้ หรือให้ฝ่ายกฏหมายของบริษัทจัดการเรื่องต่อ

เท่าที่คิดได้มีแค่นี้แหละครับไม่รู้ว่าจะเป็นประโยชน์แค่ไหนนะครับ ใครมีอะไรเพิ่มเติมก็ช่วยๆๆ กันนะครับ.....ขอบคุณ
ตอบเมื่อ Apr 18, 2012 โดย anonymous
selected Apr 18, 2012 โดย Eggvalue
+3 votes
1.แก้ไขใหใช้งานได้ตามปกติ

2.ตรวจสอบการเปลี่ยนแปลงว่าอะไรถูกแก้ไขไปบ้าง

3.ตรวจสอบช่องโหว่ว่า ถูกโจมตีจากด้านไหน และช่องโหว่อื่นๆ

4.อุดรูให้หมด

5.อัพเดรตซอฟแวร์ให้เป้นเวอร์ชั่นล่าสุด

6.ศึกษาหาข้อมูล วิธีการป้องกัน และเรียนรู้ถึงช่องโหว่ใหม่ๆ เสมอ และทดสอบหาช่องโหว่ของระบบตัวเองอยู่เรื่อยๆ

 

คร่าวๆ หลักๆ ก็ตามนั้นครับ

 

รอท่านอื่นเพิ่มเติมครับ
ตอบเมื่อ Apr 17, 2012 โดย $??? (240 คะแนน)
+3 votes
คำตอบควรขึ้นอยู่กับระบบว่าสำคัญให้ recovery ขึ้นมามากแค่ไหน หรือทำใหม่จะคุ้มกว่า

ตอบแบบทั่วไปคือไม่ควรแก้ไขอะไรโดยเด็ดขาดเพราะว่าจะทำลายการ forensic ในภายหลัง
สิ่งแรกที่ควรทำคือ image disk และทำ hashing  ไฟล์ทั้งหมดหลังเกิดเหตุไว้อย่างละเอียด (เพื่อใช้ในชั้นศาล)
ตรวจสอบ log ว่าน่าจะเกิดอะไรขึ้น (แต่ไม่ควรเชื่อถ้าระบบการเก็บ log ไม่น่าเชื่อถือ attacker อาจเข้ามาแก้ไข log ได้)
หลังจากตรวจสอบแล้วก็ควรทำการ hardening os ทำ pentest&vulnerability assessment อัพเดทซอฟต์แวร์แก้ไขรหัสผ่าน ตรวจสอบสิทธิ์การเข้าถึงในระบบ  ทำระบบ centralize log & backup & IDS
ตอบเมื่อ Apr 17, 2012 โดย Injector (202 คะแนน)

Related questions

+1 vote
2 คำตอบ
334 views ถามเมื่อ Jun 12, 2012 in Ubuntu โดย Go2Kn0W (111 คะแนน)
+4 votes
1 คำตอบ
1,745 views ถามเมื่อ May 5, 2012 in Software โดย beebrabie (106 คะแนน)
+3 votes
1 คำตอบ
366 views ถามเมื่อ Apr 23, 2012 in Network-Server โดย anonymous
...