Si usted se encuentra presente fisicamente cuando un ataque está sucediendo si al hacer lo siguiente, no afecta las transacciones de negocios, simplemente desconecte el NIC hasta que pueda descifrar lo que el intruso quiere hacer y asegure el computador,inhabilitando la capa uno de la red, es la única vía verdadera de mantener al atacante alejado del equipo comprometido (consejo prudente de Phillip Hofmeister).
Si realmente usted quiere arreglar el compromiso rápidamente, usted deberá
eliminar el servidor comprometido de su red y reinstalar el sistema operativo
desde el comienzo. Esto no debería tener ningún efecto si usted no sabe como
el intruso se volvió root. En este caso, debe chequear todo: firewall/file
integrity/loghost logfiles y así sucesivamente. Para más información sobre que
hacer y seguir una intrusión, observe Sans'Incident Handling Guide
o pasos del
CERT para recuperarse de un compromiso en sistema UNIX o NT
.
Recuerde que si usted está seguro de que el sistema ha sido comprometido, no puede confiarse del software o de alguna otra información que esté en ese momento. Las aplicaciones podrían haber sido troyanizadas, y módulos del kernel estar instalados, etc.
Lo mejor es sacar una copia completa de seguridad (usando dd
)
después de haberlo cargado desde un medio seguro. Los discos compactos de
Debian GNU/Linux pueden ser usados correctamente por éste dado que ellos
suministran a una interfaz de comandos en la consola 2 cuando la instalación
haya iniciado (presione Alt 2 y luego Enter). La interfaz de comando puede ser
usada para sacar una copia de seguridad a un lugar diferente (a lo mejor un
servidor de archivos en red vía NFS/FTP ...) para hacer un análisis mientras el
sistema está fuera de línea (o siendo reinstalado).
Si usted está seguro que solamente hay un módulo del kernel troyano, usted puede intentar lanzar la imagen del kernel desde el disco compacto en modo rescue. Asegúrese de iniciar en modo single o si no, de modo que otros procesos troyanos no correrán después del kernel.
Si usted desea recopilar mas información, el tct
(El juego de
herramientas del instructor de Dan Farmer y Wietse Venema) contiene paquetes de
utilidad que ejecuta un "post mortem" de un sistema. El
tct
permite al usuario recopilar información acerca de archivos
borrados, procesadores en funcionamiento y más. Observe la documentación
incluída para más información.
Los análisis forense siempre se deben hacer en la copia de seguridad de datos, nunca en los mismos datos, ya que estos podrían ser falsificados a través de este análisis (y perderse).
ARREGLAME. De este párrafo se espera que suministre mas información acerca de la legalidad en el sistema Debian en un futuro venidero.
ARREGLAME: hablar sobre como va a hacer un debsums en un sisema estable con el disco compacto md5sums, con la recuperación de un sistema de archivo restaurado en una distribución separada.
Manual de Seguridad de Debian
Version: 2.4 (revisión de traducción 3), Mon, 16 May 2005 21:28:04 +0200jfs@debian.org