On Mon, Mar 10, 2003 at 09:33:04PM +0100, Davide Bolcioni wrote:
> Tuttavia, se l'host ha qualche "estraneo" sopra e questo estraneo per
> pura fortuna ancora non ha la tua password di root, può darsi che
> "su -" sia proprio ciò che gli serve per ottenerla: non sono abbastanza
> esperto di questi aspetti per fornirti consigli più sensati.
Rimanendo validi tutti gli altri suggerimenti dati, mi permetto
di esprimere la sensazione che il "su -" non sia strategico per
un intrusore. Solitamente se c'e` stato un break-in che l'ha
portato ad avere un'utenza locale, seguira` a breve un local
exploit per elevare i privilegi. Nella peggiore delle ipotesi la
connessione web uscente e` per scaricare t00lz sulla macchina.
> - disconnettere l'host da ogni connessione di rete;
buona idea - anche se ovviamente impedisce l'analisi del
traffico in transito
> - rimuovere l'hard disk e sostituirlo con uno su cui è stato appena
> installato Linux, stessa distribuzione;
> - montare il suddetto disco sospetto noexec;
> - procedere alla ricerca dei corpi estranei.
solitamente non faccio shutdown sulle macchine compromesse, per
evitare di eseguire ulteriori operazioni sul filesystem.
Pull-the-plug e` il mio (personale) approccio.
Ovviamente il disco non deve essere _mai_ rimontato read-write,
quindi il repair del filesystem e` da escludersi. (semmai in un
secondo tempo, vedi sotto)
> Ci sono approcci più sofisticati e tool appositi, nel cui uso altri più
> addentro in me in cose del genere ti possono guidare meglio, ma il
> principio resta lo stesso: mettere in quarantena, partire da uno stato
> sicuramente di salute e confrontare.
Uno strumento valido e` il Coroner's toolkit
http://www.porcupine.org/forensics/tct.html
anche se a dire il vero non e` sempre necessario, spesso si
trova materiale molto prima.
Una verifica del checksum degli eseguibili contenuti nei
pacchetti spesso rivela cose. (hint: find /dev -type f :P)
> L'operazione è assai onerosa in termini di tempo e richiede pratica; non
Concordo pienamente: la risorsa piu` importante e` il tempo,
seguita immediatamente dopo dall'attenzione e dalle risorse
hardware. Andrebbe fatta una copia binaria dell'intero disco
altrove, e poi lavorare solamente su quella, riponendo il disco
sigillato in luogo sicuro, blah blah blah... ma ci addentriamo
nel campo della forensic "seria", e difficilmente e` il caso
dell'home user.
Personalmente vado a sentimento, e qualche (rara) volta si
trovano soluzioni veramente creative - ma sulle 10, 15 analisi
che faccio in un anno molto poche richiedono l'intero
svolgimento delle procedure standard, la maggior parte delle
volte si capisce il come, quando e perche` nel giro di una
mezz'ora.
Al cansecwest quest'anno fanno un talk di router forensic, sigh
e io non ci posso andare. :((
Guardate che cose stupende...
http://www.cansecwest.com/speakers.cgi
byez,
--
My home isn't cluttered; it's "passage restrictive."
zen@xxxxxxxxx . Geek . And proud of it .
http://www.kill-9.it/jargon/html/entry/zen.html
|