Сервер веб-логики Breach Help! Как найти признаки того, какие данные, если таковые были доступны?

Question

Сервер Weblogic был взломан, и теперь проблема устранена.Я просматриваю зараженные виртуальные машины в песочнице и хочу узнать, что, если какие-либо данные были доступны на серверах приложений.серверы приложений были забиты ssh-запросами, и поэтому мы определили зараженные виртуальные машины как веб-логику VMS, у нас не было входа в http.Есть ли способ определить, был ли взломан PII?

Просматривал защищенные журналы на weblogic, а также просматривал журналы PIA. Я не уверен, как определить, что, если к каким-либо данным обращались

Я хотел бы узнать, что вышло из нашегосеть и информация или данные

что мне нужно искать

Есть ли что-то, чему я могу научиться, глядя на серверы weblogic, работающие на Red Hat?

Answer 1

Хотелось бы верить, что SSH был не единственным забиваемым сервисом, и это была большая попытка обратить внимание на регистрацию аутентификации, пока делается попытка других сервисов.

• Есть ли у вас временные рамки, с которыми вы работаете?
• Проверены ли журналы ОС за этот период времени?
• .bash_history проверено? переменные env? / etc / pass * для добавленных пользователей? псевдонимы? обратные оболочки открываются на сетевых подключениях? Новые пользователи, созданные в службах, работающих на этом конкретном хосте?
• Была ли WebLogic единственной службой, работающей на этом общедоступном хосте?
• Какие другие службы и порты были доступны?
• Это произошло из-за более старой версии Weblogic или другого сервиса, приложения, плагина?

Создайте для себя таблицу Excel и запустите временную шкалу. Посмотрите на все возможные журналы уровня ОС и начните делать записи о том, что выглядит подозрительно, а затем следуйте этой крошке до изнеможения.