Wiederherstellung der Datenbank von einem gehackten System

Eine Linux-VM mit Postgres 9.4 wurde gehackt. (Zwei Prozesse mit 100% CPU, seltsame Dateien in/tmp, sind nach Kill (s) und Neustart nicht wieder aufgetreten.) Es wurde entschieden, das System von Grund auf neu zu installieren (mit postgres 9.6). Die einzigen benötigten Daten waren in einer Postgres-Datenbank. Eine pg_dump der Datenbank wurde nach dem Angriff gemacht.Wiederherstellung der Datenbank von einem gehackten System

Unabhängig davon, ob die Daten - die Tabellen/Zeilen/etc. - wurden während des Angriffs geändert: ist es sicher, die Datenbank im neuen System wiederherzustellen?

ich mit pg_restore mit der Option -O betrachten (ignoriert die Benutzerberechtigungen)

Quelle

2016-12-01 user1713059

'Zwei Prozesse mit 100% CPU, seltsame Dateien in/tmp, sind nach Kill (s) und Neustart nicht wieder aufgetreten. ... könnte auch durch einen Java ORM verursacht worden sein ... – joop

Nun, es war sicherlich ein böswilliger Prozess, der wahrscheinlich installiert wurde, nachdem Postgres kompromittiert wurde. – user1713059

Die beiden Gefahren sind:

wichtige Daten modifiziert wurden, konnte
Hintertüren haben könnte wurde in Ihrer Datenbank installiert

Mit dem ersten Schritt können Sie selbst überprüfen, ob Ihre Daten in Ordnung sind. Am sichersten wäre es, ein Backup zu verwenden, bevor die Maschine kompromittiert wurde, aber das würde Datenverlust bedeuten.

Für den zweiten würde ich einen pg_dumpall -s laufen und einen Tag damit verbringen, es sorgfältig zu lesen. Vergleichen Sie es mit einem Dump aus einem Backup, das vor der Verletzung erstellt wurde. Achten Sie auf seltsame Objekt- und Spaltennamen und Funktionen mit SECURITY DEFINER.

Quelle

2016-12-02 05:12:36

Der Dump ist 33GB obwohl. :) – user1713059

Wenn Sie das Flag "-s" verwenden, enthält die Ausgabe nur die Objektdefinitionen, die weit unter 33 GB liegen sollten. Verifying der Daten selbst ist ein Problem. –

Wiederherstellung der Datenbank von einem gehackten System

Antwort

Verwandte Themen