[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Wenn Sie während eines Angriffs physisch anwesend sind, sollte Ihre erste Reaktion sein, den Rechner vom Netzwerk zu trennen, indem Sie das Kabel aus der Netzwerkkarte ziehen (wenn das keinen nachteiligen Einfluss auf Ihre Geschäfte hat). Das Netzwerk auf Schicht 1 abzuschalten ist der einzig wirklich erfolgreiche Weg, um den Angreifer aus dem gehackten Rechner herauszuhalten (weiser Ratschlag von Phillip Hofmeister).
Allerdings können einige Werkzeuge, die durch Rootkits, Trojaner oder sogar unehrlichen Benutzern über eine Hintertür installiert wurden, diesen Vorgang erkennen und auf ihn reagieren. Es ist nicht wirklich lustig, wenn Sie sehen, dass rm -rf / ausgeführt wird, wenn Sie das Netzwerkkabel ziehen. Wenn Sie nicht bereit sind, dieses Risiko einzugehen, und Sie sich sicher sind, dass in das System eingebrochen wurde, sollten Sie das Stromkabel herausziehen (alle, wenn es mehr als eines gibt) und Ihre Daumen drücken. Das hört sich zwar extrem an, verhindert aber tatsächlich eine Logikbombe, die ein Eindringling programmiert haben könnte. Auf jeden Fall sollte ein kompromittiertes System nicht neugestartet werden. Entweder sollten die Festplatten in einem anderen System analysiert werden, oder Sie sollten ein anderen Medium (eine CD-ROM) benutzen, um das System zu booten und analysieren. Sie sollten nicht die Rettungsdisk von Debian verwenden, um das System zu starten. Sie können aber die Shell auf der Installationsdisk benutzen (wie Sie wissen, erreichen Sie sie mit Alt+F2), um das System zu analysieren. [73]
Die beste Methode, um ein gehacktes System wiederherzustellen, ist, ein
Live-Dateisystem auf einer CD-ROM mit allen Programmen (und Kernel-Modulen)
verwenden, die Sie brauchen, um auf das eingebrochene System zugreifen zu
können. Sie können das Paket mkinitrd-cd
benutzen, um eine solche
CD-ROM zu erstellen [74]. Auch
die CD-ROM von FIRE
(früher als Biatchux bekannt) könnte hilfreich sein, da diese Live-CD-ROM
forensische Werkzeuge enthält, die in solchen Situationen nützlich sind. Es
gibt (noch) kein Programm wie dieses, das auf Debian basiert. Es gibt auch
keinen leichten Weg, eine CD-ROM mit Ihrer Auswahl von Debian-Paketen und
mkinitrd-cd
zu erstellen. Daher werden Sie die Dokumentation
lesen müssen, wie Sie Ihre eigenen CD-ROMs machen.
Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen, sollten Sie
den kompromittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem
von Grund auf neu installieren. Dies könnte natürlich nicht sehr wirkungsvoll
sein, da Sie nicht erfahren, wie der Eindringling zuvor Root-Rechte bekommen
hat. Um das herauszufinden, müssen Sie alles prüfen: Firewall, Integrität der
Dateien, Log-Host, Log-Dateien und so weiter. Weitere Informationen, was Sie
nach einem Einbruch unternehmen sollten, finden Sie unter Sans' Incident Handling
Guide
oder CERT's Steps for
Recovering from a UNIX or NT System Compromise
.
Einige häufige Fragen, wie mit einem gehackten Debian-GNU/Linux-System umzugehen ist, sind unter Mein System ist angreifbar! (Sind Sie sich sicher?), Abschnitt 12.2 zu finden.
wenn Sie sich sicher sind, dass das System kompromittiert wurde, vergessen Sie nicht, dass Sie weder der installierten Software noch irgendwelchen Informationen, die es an Sie liefert, vertrauen können. Anwendungen könnten von einem Trojaner befallen sein, Kernel-Module könnten installiert worden sein, usw.
Am besten ist es, eine komplette Sicherheitskopie Ihres Dateisystems (mittels
dd
) zu erstellen, nachdem Sie von einem sicheren Medium gebootet
haben. Debian GNU/Linux CD-ROMs können dazu nützlich sein, da sie auf Konsole
zwei eine Shell anbieten, nachdem die Installation gestartet wurde (mit Alt+2
und Enter aktivieren Sie sie). Von dieser Shell aus sollten Sie eine
Sicherheitskopie möglichst auf einem anderen Host erstellen (vielleicht auf
einen Netzwerk-File-Server über NFS/FTP). Dadurch kann eine Analyse des
Einbruchs oder eine Neuinstallation durchgeführt werden, während das betroffene
System offline ist.
Wenn Sie sich sicher sind, dass es sich lediglich um ein trojanisiertes Kernel-Modul handelt, können Sie versuchen, das Kernel-Image von der Debian-CD-ROM im rescue-Modus zu laden. Stellen Sie sicher, dass Sie im single-Modus starten, so dass nach dem Kernel keine weiteren Trojaner-Prozesse gestartet werden.
Das CERT (Computer and Emergency Response Team) ist eine Organisation, die Ihnen helfen kann, Ihr System nach einem Einbruch wiederherzustellen. Es gibt CERTs weltweit [75]. Sie sollten mit dem lokalen CERT Verbindung aufnehmen, wenn sich ein sicherheitsrelevanter Vorfall ereignet hat, der zu einem Einbruch in Ihr System geführt hat. Die Menschen in der lokalen CERT können Ihnen helfen, Ihr System wiederherzustellen.
Selbst wenn Sie keine Hilfe benötigen, kann es anderen helfen, wenn Sie dem
lokalen CERT (oder dem Koordinationszentrum des CERTs) Informationen des
Einbruchs zur Verfügung stellen. Die gesammelten Informationen von gemeldeten
Vorfällen werden verwendet, um herauszufinden, ob eine bestimmte Verwundbarkeit
weit verbreitet ist, ob sich ein neuer Wurm ausbreitet oder welche neuen
Angriffswerkzeuge eingesetzt werden. Diese Informationen werden benutzt, um
die Internet-Gemeinschaft mit Informationen über die aktuellen
Sicherheitsvorkommnisse
zu versorgen und um Hinweise zu Vorfällen
und
sogar Anweisungen
zu
veröffentlichen. Ausführliche Informationen, wie (und warum) ein Vorfall
gemeldet wird, können Sie auf CERT's Incident
Reporting Guidelines
nachlesen.
Sie können auch weniger formale Einrichtungen verwenden, wenn Sie Hilfe
brauchen, um Ihr System wiederherzustellen, oder wenn Sie Informationen des
Vorfalls diskutieren wollen. Dazu zählen die Mailingliste für
Vorfälle
und die Mailingliste für
Einbrüche
.
Wenn Sie mehr Informationen sammeln wollen, enthält das Paket tct
(The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine
post mortem-Analyse des Systems. tct
erlaubt es dem
Benutzer, Informationen über gelöschte Dateien, laufende Prozesse und mehr zu
sammeln. Sehen Sie bitte für weitere Informationen in die mitgelieferte
Dokumentation. Diese und andere Werkzeuge können auch auf Sleuthkit and Autopsy
von Brian
Carrier, welches ein Web-Frontend zur forensischen Analyse von Disk-Images zur
Verfügung stellt, gefunden werden. In Debian befindet sich sowohl
sleuthkit
(die Werkzeuge) und autopsy
(die grafische
Oberfläche).
Einige andere Programme aus der Debian-Distribution, die für forensische Analyse verwendet werden können, sind:
fenris
.
strace
.
ltrace
.
Alle diese Pakete können dazu benutzt werden, um Schurkenprogramme (wie z.B.
Hintertüren) zu analysieren, um herauszufinden, wie sie arbeiten und was sie
mit dem System anstellen. Einige andere gebräuchliche Werkzeuge sind
ldd
(in libc6
), strings
und
objdump
(beide in binutils
).
Wenn Sie eine forensische Analyse mit Hintertüren oder verdächtigen Programmen
durchführen, die Sie vom gehackten System haben, sollten Sie dies in einer
sicheren Umgebung durchführen, z.B. in einem bochs
-, oder
xen
-Image oder in einer chroot
-Umgebung eines Nutzers
mit geringen Rechten. Andernfalls könnte auch auf Ihrem eigenen System eine
Hintertür eingerichtet oder R00t-Rechte erlangt werden.
Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden, niemals auf die Daten selbst, da sie durch diese Analyse beeinflusst werden könnten und so Beweismittel zerstört werden würden.
Weiterführende Informationen über forensische Analyse können Sie in Dan Farmers
und Wietse Venemas Buch Forensic
Discovery
(online verfügbar), in ihrer Computer Forensics
Column
und in ihrem Computer Forensic
Analysis Class Handouts
finden. Eine weitere, sehr gute Quelle für
Tipps zur forensischen Analyse ist Brian Carriers Newsletter The Sleuth Kit
Informer
. Auch die Honeynet Challenges
sind eine ausgezeichnete Möglichkeit, Ihre forensischen Fähigkeiten zu
verbessern, da sie echte Angriffe auf Honigtopfsysteme umfassen und
Herausforderungen bieten, die von der forensischen Analyse von Festplatten bis
zu Protokollen der Firewall und Paketerfassung alles beinhalten.
FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.
FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition.
FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse
challenge or David
Dittrich's papers
).
[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Anleitung zum Absichern von Debian
Version: 3.10, Fri, 12 Jan 2007 13:43:33 +0100jfs@debian.org