[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ weiter ]

Anleitung zum Absichern von Debian
Kapitel 10 - Nach einer Komprimitierung


10.1 Allgemeines Verhalten

Wenn Sie während eines Angriffs physisch present sind, wird es sich nicht dauerhaft nachteilig auf Ihre Geschäffte auswirken, wenn Sie einfach das Kabel aus der Netzwerkkarte ziehen, bis Sie herausbekommen, was der Eindringling tat und die Kiste gesichert wurde. Das Netzwerk auf der untersten Ebenen abzuschalten ist der einzig sichere Weg, um den Angreifer daran zu hindern, den Rechner zu komprimitieren (Phillip Hofmeisters weiser Ratschlag).

Wenn Sie eine Komprimitierung wirklich schnell reparieren wollen, sollten Sie den komprimitierten Rechner aus dem Netzwerk entfernen, und das Betriebssystem von Grund auf neu Installieren. Dies könnte natürlich gar nichts bewirken, wenn Sie nicht wissen, wie der Eindringling root-Rechte bekommen hat. In diesem Fall müssen Sie alles prüfen: firewall, Datei Integrität, Logdateien des Loghost und so weiter. Weitere Informationen was Sie nach einem Einbruch tun sollten, finden Sie unteer Sans' Incident Handling Guide oder CERT's Steps for Recovering from a UNIX or NT System Compromise.


10.2 Anlegen von Sicherheitskopien Ihres Systems

Vergessen Sie nicht, dass wenn Sie sicher sind, dass das System komprimitiert wurde, Sie weder der installierten Software noch irgendwelchen Informationen, die es an Sie liefert, vertrauen können. Applikationen könnten von einem Trojaner befallen sein, Kernel Module könnten installiert worden sein, usw.

Das beste das Sie machen können ist eine komplette Sicherheitskopie Ihres Dateisystems (durch dd) nachdem Sie von einem sicheren Medium gebootet haben. Debian GNU/Linux CDs können hierzu benutzt werden, da Sie auf Konsole zwei eine Shell anbieten, nachdem die Installation gestartet ist (mit Alt+2 und Enter aktivieren Sie sie). Die Shell kann zum anlegen der Sicherheitskopie woanders hin (vielleicht über einen Netzwerk File-Server über NFS/FTP) benutzt werden, zur Analyse während das System offline ist (oder zu Reinstallation).

Wenn Sie sicher sind, dass es sich lediglich um ein trojanisiertes Kernel-Modul handelt, versuchen Sie das Kernel-Image von der CD im rescue Modus zu laden. Stellen Sie ausserdem sicher, dass Sie im single Modus starten, so dass auch nach dem Kernel keine weiteren trojanisierten Prozesse gestartet werden.


10.3 forensische Analyse

Wenn Sie mehr Informationen sammeln wollen, enthält das Paket tct (The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine "post mortem" Analyse des Systems. tct erlaubt es dem Benutzer Informationen über gelöschte Dateien, laufende Prozesse und mehr zu sammeln. Sehen Sie bitte für weiter Informationen in die mitgelieferte Dokumentation.

Forensische Analysen sollten immer auf eine Sicherheitskopie der Daten angewendet werden, niemals auf die Daten selbst, da Sie durch diese Analyse beeinflusst werden können.

FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.

FIXME: talk on how to do a debsums on a stable system with the md5sums on CD and with the recovered filesystem restored on a separate partition.


[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ weiter ]

Anleitung zum Absichern von Debian

2.5 (beta) 5 marzo 2004Sat, 17 Aug 2002 12:23:36 +0200

Javier Fernández-Sanguino Peña jfs@computer.org