Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions d'affaires, débranchez simplement la carte réseau jusqu'a ce que vous puissiez comprendre ce que l'intrus a fait et sécurisez votre machine. La désactivation du réseau à la couche 1 est le seul vrai moyen de garder un attaquant hors d'une machine compromise. (Conseil sage de Phillip Hofmeister)
Si vous voulez réellement corriger la compromission rapidement, vous devriez
retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à
partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment
l'intrus est devenu root. Dans ce cas vous devez tout vérifier: pare-feu/
intégrité fichier/journaux de l'hôte de journalisation et caetera. Pour plus
d'informations sur quoi faire après une intrusion, voir Sans' Incident Handling
Guide
ou CERT's Steps for
Recovering from a UNIX or NT System Compromise
.
Rappelez vous que si vous êtes sûr que le système a été compromis, vous ne pouvez faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient contenir un trojan, des modules noyau pourraient être installés, etc.
La meilleure chose à faire est une sauvegarde complète du système de fichier
(en utilisant dd
) après avoir démarré d'un média sûr. Les CDs
Debian GNU/Linux peuvent utilement être utilisés car il fournissent un shell en
console 2 quand l'installation est commencée (allez y en utilisant Alt+2 et en
appuyant sur la touche Entrée). Le shell peut être utilisé pour sauvegarder
les informations vers un autre endroit (peut être un serveur de fichier réseau
à travers NFS/FTP...) pour analyse pendant que le système est hors-ligne (ou
réinstallé).
Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez essayer d'exécuter l'image noyau du CD en mode rescue. Assurez vous aussi de démarrer en mode single de façon à ce qu'aucun autre processus trojan ne s'exécute après le noyau.
Si vous souhaitez rassembler plus d'informations, le paquetage tct
(The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires
qui effectuent une analyse 'post mortem' d'un système. tct
autorise l'utilisateur à collecter des informations sur les fichiers effacés,
processus qui s'exécutent et plus. Voir la documentation incluse pour plus
d'informations.
L'analyse post mortem devrait toujours être faite sur une copie de sauvegarde des données, jamais sur les données elles-même car elles pourraient être altérées par cette analyse (et perdues).
FIXME. Ce paragraphe fournira, je l'espère plus d'informations sur la "médecine légale" sur un système Debian dans un futur proche.
FIXME: décrire comment faire des debsums sur un système stable avec md5sums sur un CD et avec le système de fichiers récupérés restorés sur une partition séparée
Securing Debian Manual
2.8 14 febrero 2004Mon, 18 Nov 2002 23:13:42 +0100jfs@computer.org