[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Wenn Sie während eines Angriffs physisch anwesend sind, sollte Ihre erste Reaktion sein, den Rechner vom Netzwerk zu trennen, indem Sie das Kabel aus der Netzwerkkarte ziehen (wenn das keinen nachteiligen Einfluss auf Ihre Geschäfte hat). Das Netzwerk auf Schicht 1 abzuschalten ist der einzig wirklich erfolgreiche Weg, um den Angreifer aus dem gehackten Rechner herauszuhalten (weiser Ratschlag von Phillip Hofmeister).
Allerdings können einige Werkzeuge, die durch Rootkits, Trojaner oder sogar unehrlichen Benutzern über eine Hintertür installiert wurden, diesen Vorgang erkennen und auf ihn reagieren. Es ist nicht wirklich lustig, wenn Sie sehen, dass rm -rf / ausgeführt wird, wenn Sie das Netzwerkkabel ziehen. Wenn Sie nicht bereit sind, dieses Risiko einzugehen, und Sie sich sicher sind, dass in das System eingebrochen wurde, sollten Sie das Stromkabel herausziehen (alle, wenn es mehr als eines gibt) und Ihre Daumen drücken. Das hört sich zwar extrem an, verhindert aber tatsächlich eine Logikbombe, die ein Eindringling programmiert haben könnte. Auf jeden Fall sollte ein kompromittiertes System nicht neugestartet werden. Entweder sollten die Festplatten in einem anderen System analysiert werden oder Sie sollten ein anderen Medium (eine CD-ROM) benutzen, um das System zu booten und analysieren. Sie sollten nicht die Rettungsdisk von Debian verwenden, um das System zu starten. Sie können aber die Shell auf der Installationsdisk benutzen (wie Sie wissen, erreichen Sie sie mit Alt+F2), um das System zu analysieren. [80]
Die beste Methode, um ein gehacktes System wiederherzustellen, ist, ein
Live-Dateisystem auf einer CD-ROM mit allen Programmen (und Kernel-Modulen)
verwenden, die Sie brauchen, um auf das eingebrochene System zugreifen zu
können. Sie können das Paket mkinitrd-cd
benutzen, um eine
solche CD-ROM zu erstellen [81]. Auch die CD-ROM von FIRE
(früher als Biatchux bekannt)
könnte hilfreich sein, da diese Live-CD-ROM forensische Werkzeuge enthält,
die in solchen Situationen nützlich sind. Es gibt (noch) kein Programm wie
dieses, das auf Debian basiert. Es gibt auch keinen leichten Weg, eine CD-ROM
mit Ihrer Auswahl von Debian-Paketen und mkinitrd-cd
zu erstellen.
Daher werden Sie die Dokumentation lesen müssen, wie Sie Ihre eigenen CD-ROMs
machen.
Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen, sollten Sie
den kompromittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem
von Grund auf neu installieren. Dies könnte natürlich nicht sehr
wirkungsvoll sein, da Sie nicht erfahren, wie der Eindringling zuvor
Root-Rechte bekommen hat. Um das herauszufinden, müssen Sie alles prüfen:
Firewall, Integrität der Dateien, Log-Host, Protokolldateien und so weiter.
Weitere Informationen, was Sie nach einem Einbruch unternehmen sollten, finden
Sie in CERT's Steps for
Recovering from a UNIX or NT System Compromise
oder in Sans'
Incident Handling
Guide
.
Einige häufige Fragen, wie mit einem gehackten Debian-GNU/Linux-System umzugehen ist, sind unter Mein System ist angreifbar! (Sind Sie sich sicher?), Abschnitt 12.2 zu finden.
Wenn Sie sich sicher sind, dass das System kompromittiert wurde, vergessen Sie nicht, dass Sie weder der installierten Software noch irgendwelchen Informationen, die sie an Sie liefert, vertrauen können. Anwendungen könnten von einem Trojaner befallen sein, Kernel-Module könnten installiert worden sein, usw.
Am besten ist es, eine komplette Sicherheitskopie Ihres Dateisystems (mittels
dd
) zu erstellen, nachdem Sie von einem sicheren Medium gebootet
haben. Debian GNU/Linux CD-ROMs können dazu nützlich sein, da sie auf
Konsole 2 eine Shell anbieten, nachdem die Installation gestartet wurde (mit
Alt+2 und Enter aktivieren Sie sie). Von dieser Shell aus sollten Sie eine
Sicherheitskopie möglichst auf einem anderen Host erstellen (vielleicht auf
einen Netzwerk-Datei-Server über NFS/FTP). Dadurch kann eine Analyse des
Einbruchs oder eine Neuinstallation durchgeführt werden, während das
betroffene System offline ist.
Wenn Sie sich sicher sind, dass es sich lediglich um ein trojanisiertes Kernel-Modul handelt, können Sie versuchen, das Kernel-Image von der Debian-CD-ROM im rescue-Modus zu laden. Stellen Sie sicher, dass Sie im single-Modus starten, so dass nach dem Kernel keine weiteren Trojaner-Prozesse gestartet werden.
Das CERT (Computer and Emergency Response Team) ist eine Organisation, die Ihnen helfen kann, Ihr System nach einem Einbruch wiederherzustellen. Es gibt CERTs weltweit [82]. Sie sollten mit dem lokalen CERT Verbindung aufnehmen, wenn sich ein sicherheitsrelevanter Vorfall ereignet hat, der zu einem Einbruch in Ihr System geführt hat. Die Menschen in der lokalen CERT können Ihnen helfen, Ihr System wiederherzustellen.
Selbst wenn Sie keine Hilfe benötigen, kann es anderen helfen, wenn Sie dem
lokalen CERT (oder dem Koordinationszentrum des CERTs) Informationen des
Einbruchs zur Verfügung stellen. Die gesammelten Informationen von gemeldeten
Vorfällen werden verwendet, um herauszufinden, ob eine bestimmte
Verwundbarkeit weit verbreitet ist, ob sich ein neuer Wurm ausbreitet oder
welche neuen Angriffswerkzeuge eingesetzt werden. Diese Informationen werden
benutzt, um die Internet-Gemeinschaft mit Informationen über die aktuellen
Sicherheitsvorkommnisse
zu versorgen und um Hinweise zu Vorfällen
und sogar Ankündigungen
zu
veröffentlichen. Ausführliche Informationen, wie (und warum) ein Vorfall
gemeldet wird, können Sie auf CERT's Incident
Reporting Guidelines
nachlesen.
Sie können auch weniger formale Einrichtungen verwenden, wenn Sie Hilfe
brauchen, um Ihr System wiederherzustellen, oder wenn Sie Informationen des
Vorfalls diskutieren wollen. Dazu zählen die Mailingliste für
Vorfälle
und die Mailingliste für
Einbrüche
.
Wenn Sie mehr Informationen sammeln wollen, enthält das Paket tct
(The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine
post mortem-Analyse des Systems. tct
erlaubt es dem
Benutzer, Informationen über gelöschte Dateien, laufende Prozesse und mehr zu
sammeln. Sehen Sie für weitere Informationen in die mitgelieferte
Dokumentation. Diese und andere Werkzeuge können auch auf Sleuthkit and Autopsy
von Brian
Carrier, welches ein Web-Frontend zur forensischen Analyse von Disk-Images zur
Verfügung stellt, gefunden werden. In Debian befindet sich sowohl
sleuthkit
(die Werkzeuge) und autopsy
(die grafische
Oberfläche).
Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden, niemals auf die Daten selbst, da sie durch diese Analyse beeinflusst werden könnten und so Beweismittel zerstört werden würden.
Weiterführende Informationen über forensische Analyse können Sie in Dan
Farmers und Wietse Venemas Buch Forensic
Discovery
(online verfügbar), in ihrer Computer Forensics
Column
und in ihrem Computer Forensic
Analysis Class Handouts
finden. Eine weitere sehr gute Quelle für
Tipps zur forensischen Analyse ist Brian Carriers Newsletter The Sleuth Kit
Informer
. Auch die Honeynet Challenges
sind eine ausgezeichnete Möglichkeit, Ihre forensischen Fähigkeiten zu
verbessern, da sie echte Angriffe auf Honigtopfsysteme umfassen und
Herausforderungen bieten, die von der forensischen Analyse von Festplatten bis
zu Protokollen der Firewall und Paketerfassung alles beinhalten.
FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future.
FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition.
FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse
challenge or David
Dittrich's papers
).
Einige andere Programme aus der Debian-Distribution, die für forensische Analyse verwendet werden können, sind:
strace
ltrace
Alle diese Pakete können dazu benutzt werden, um Schurkenprogramme (wie z.B.
Hintertüren) zu analysieren, um herauszufinden, wie sie arbeiten und was sie
mit dem System anstellen. Einige andere gebräuchliche Werkzeuge sind
ldd
(in libc6
), strings
und
objdump
(beide in binutils
).
Wenn Sie eine forensische Analyse von Hintertüren oder verdächtigen
Programmen durchführen, die Sie von gehackten Systemen haben, sollten Sie dies
in einer sicheren Umgebung durchführen, z.B. in einem bochs
-,
oder xen
-Image oder in einer chroot
-Umgebung eines
Benutzers mit geringen Rechten.[83] Andernfalls könnte auch auf Ihrem eigenen System eine
Hintertür eingerichtet oder Root-Rechte erlangt werden.
Falls Sie an der Analyse von Schadprogrammen interessiert sind, sollten Sie das
Kapitel Malware
Analysis Basics
aus dem Forensik-Buch von Dan Farmer und Wietse
Venema lesen.
[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Securing Debian Manual
Version: 3.17,mailto:jfs@debian.org