Wenn Sie während eines Angriffs physisch präsent sind, wird es sich nicht dauerhaft nachteilig auf Ihre Geschäfte auswirken, wenn Sie einfach das Kabel aus der Netzwerk-Karte ziehen, bis Sie herausbekommen, was der Eindringling tat und die Kiste gesichert wurde. Das Netzwerk auf der untersten Ebenen abzuschalten ist der einzig sichere Weg, um den Angreifer daran zu hindern, den Rechner zu kompromittieren (Phillip Hofmeisters weiser Ratschlag).
Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen, sollten Sie
den kompromittierten Rechner aus dem Netzwerk entfernen, und das Betriebssystem
von Grund auf neu installieren. Dies könnte natürlich gar nichts bewirken,
wenn Sie nicht wissen, wie der Eindringling root-Rechte bekommen hat. In
diesem Fall müssen Sie alles prüfen: firewall, Datei Integrität, Log-Dateien
des Loghost und so weiter. Weitere Informationen was Sie nach einem Einbruch
tun sollten, finden Sie unter Sans' Incident Handling
Guide
oder CERT's Steps for
Recovering from a UNIX or NT System Compromise
.
Vergessen Sie nicht, dass wenn Sie sicher sind, dass das System kompromittiert wurde, Sie weder der installierten Software noch irgendwelchen Informationen, die es an Sie liefert, vertrauen können. Applikationen könnten von einem Trojaner befallen sein, Kernel Module könnten installiert worden sein, usw.
Das beste, das Sie machen können, ist eine komplette Sicherheitskopie Ihres
Dateisystems (durch dd
) nachdem Sie von einem sicheren Medium
gebootet haben. Debian GNU/Linux CDs können hierzu benutzt werden, da Sie auf
Konsole zwei eine Shell anbieten, nachdem die Installation gestartet ist (mit
Alt+2 und Enter aktivieren Sie sie). Die Shell kann zum anlegen der
Sicherheitskopie woanders hin (vielleicht über einen Netzwerk File-Server über
NFS/FTP) benutzt werden, zur Analyse während das System offline ist (oder zu
Reinstallation).
Wenn Sie sicher sind, dass es sich lediglich um ein trojanisiertes Kernel-Modul handelt, versuchen Sie das Kernel-Image von der CD im rescue Modus zu laden. Stellen Sie außerdem sicher, dass Sie im single Modus starten, so dass auch nach dem Kernel keine weiteren trojanisierten Prozesse gestartet werden.
Wenn Sie mehr Informationen sammeln wollen, enthält das Paket tct
(The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine
"post mortem" Analyse des Systems. tct
erlaubt es dem
Benutzer Informationen über gelöschte Dateien, laufende Prozesse und mehr zu
sammeln. Sehen Sie bitte für weiter Informationen in die mitgelieferte
Dokumentation.
Forensische Analysen sollten immer auf eine Sicherheitskopie der Daten angewendet werden, niemals auf die Daten selbst, da Sie durch diese Analyse beeinflusst werden können.
FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.
FIXME: talk on how to do a debsums on a stable system with the md5sums on CD and with the recovered filesystem restored on a separate partition.
Anleitung zum Absichern von Debian
2.5 (beta) 31 mayo 2004Sat, 17 Aug 2002 12:23:36 +0200jfs@computer.org