сервер веб-логики Breach Help! Как найти признаки того, какие данные были доступны?

Сервер Weblogic был взломан, и теперь проблема устранена. Сейчас я просматриваю зараженные виртуальные машины в песочнице и хочу узнать, был ли доступ к каким-либо данным на серверах приложений. серверы приложений были забиты ssh-запросами, поэтому мы идентифицировали зараженные виртуальные машины как VMS веб-логики, у нас не было входа в систему http. Есть ли способ определить, была ли скомпрометирована какая-либо PII?

Просмотрел безопасные журналы в weblogic, а также просмотрел журналы PIA. Я не уверен, как определить, что, если к каким-либо данным был получен доступ.

Я хотел бы узнать, что ушло из нашей сети, а также информацию или данные

что я должен искать

есть ли что-нибудь, что я могу узнать, глядя на серверы weblogic, работающие на красной шляпе?


pii intrusion-detection weblogic computer-forensics
person Kal Lodin    schedule 09.05.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Я хотел бы верить, что SSH был не единственной забитой службой, и это была большая попытка обратить внимание на ведение журнала аутентификации, пока предпринимается попытка на других службах.

  • У вас есть временные рамки, с которыми вы работаете?
  • Проверялись ли журналы ОС за этот период времени?
  • .bash_history проверяли? переменные окружения? /etc/pass* для добавленных пользователей? псевдонимы? обратные оболочки открываются при сетевых подключениях? Новые пользователи, созданные в службах, работающих на этом конкретном хосте?
  • Была ли WebLogic единственной службой, работающей на этом общедоступном хосте?
  • Какие еще услуги и порты были доступны?
  • Было ли это связано с более старой версией Weblogic или другой службой, приложением, плагином?

Создайте себе электронную таблицу Excel и запустите временную шкалу. Просмотрите все возможные журналы на уровне ОС и начните отмечать все, что выглядит подозрительно, чтобы затем следовать этой навигационной крошке до полного изнеможения.

person jklmnop    schedule 14.05.2019