Como restaurar um servidor hackeado

Como restaurar um servidor hackeado

Todo administrador de sistemas deve trabalhar com a possibilidade de ter um de seus servidores comprometido por hackers. Trabalhando com esta hipótese, podemos estabelecer as metodologias de trabalho corretas para evitar esta situação. Já trabalhei para recuperar muitos servidores comprometidos. Desenvolvi alguns passos necessários para tornar o trabalho mais simples.

Vamos trabalhar com a hipótese de recuperar o servidor invadido (sem reinstalá-lo por completo). No nosso plano de restauração, o administrador deve seguir os seguintes passos:

1. Mantenha a calma e se concentre no plano de ação.
2. Disconecte o servidor da rede
3. Descubra qual o metodo utilizado para a invasão do servidor
4. Corrija o problema e reconecte o servidor
5. Monitore o sistema

1. Mantenha a calma e se concentre no plano de ação.

Nesta hora não adianta correr. Muitos administradores tem a prática de correr e parar os serviços desconhecidos, para tentar minimizar os problemas. Não faça isto. O hacker pode perceber que foi descoberto, e limpar seus scripts de invasão, impossibilitando a você de descobrir o que aconteceu. Pense no que fazer durante 5 minutos pelo menos, já que, a esta altura, este tempo não fará muita diferença.

2. Disconecte o servidor da rede

Sem reiniciar e parar os serviços, desconecte o servidor da rede. Se isto não for possível (servidor remoto, por exemplo), bloqueie todo acesso no seu firewall, exceto para o seu IP. Feito isto, o hacker verá que o sistema está fora do ar, e você terá um refresco para trabalhar.

3. Descubra qual o metodo utilizado para a invasão do servidor

Este é o ponto mais importante. Não adianta voltar o servidor para o ar antes de descobrir o que aconteceu, pois você terá novamente o servidor invadido. Aqui vai algumas dicas:

a) Reveja as suas configurações de segurança. Serviços rodando, permissões, etc.
b) Procure por alterações recentes em arquivos e logs, provavelmente você poderá descobrir o script do invasor.
c) se descobrir scripts suspeitos, verifique quem é o dono do arquivo. Esta informação é valiosa, pois o dono do script é quem o criou no servidor. Se ele foi criado por uma aplicação, o dono será um usuário vinculado a esta aplicação.
d) Identificado o script invasor, verifique o que ele faz. Analise-o e procure informações sobre o script. Se ele ataca outros aplicativos, nesta fase você irá saber e poderá neutralizar/fixar o problema.

4. Corrija o problema

Nesta fase, você já descobriu o metódo de invasão. O próximo passo é parar todos os scripts do invasor e removê-los do sistema (você pode guardá-los em outro local para investigação). Verifique se o invasor não alterou nada nos scripts de inicialização do sistema.
O próximo passo é se reconectar na rede. Mas antes, pare os serviços afetados (reconecte apenas os outros serviços). Em seguida, corrija os problemas nos serviços afetados e fixando os problemas, e reinicie também estes serviços.

5. Monitore o sistema

Monitore o sistema por completo. Provavelmente o invasor tentará ganhar acesso ao sistema mais uma vez. Se tudo correu certo, ele não irá conseguir, e poderá tentar por outras maneiras (daí a necessidade de se monitorar por completo, e não apenas a falha conhecida).

Conclusão

Nem sempre é possível seguir os passos desta maneira, algumas vezes será necessário tomar uma decisão diferente. O que descrevi é apenas uma base para um plano de ação comum.

É muito importante manter sempre backup atualizado de todos os arquivos e configurações do servidor, para utilizar num plano de recuperação que pode se fazer necessário. Nunca confie também num backup que está na mesma máquina que os arquivos de produção. O ideal é fazer um backup em mídia externa ou servidor externo, preservando a integridade dos dados e o seu plano de recuperação de desastres.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: