next up previous contents
Next: Használt fogalmak definíciója Up: Linux szerverek biztonságos üzemeltetése Previous: Egyéb fontos dolgok   Contents

Ha már megtörtént a baj

A betörés észlelése után azonnal válasszuk le a hálózatról a gépet! Így a támadó a jelenleginél nagyobb kárt már nem tud okozni. Aztán jöhet a rendszerfile-ok átnézése a tripwire log alapján. Minden megváltozott binárist le kell cserélni, config file-okat, firewall rule-okat felülvizsgálni. Ha nem volt tripwire a gépen, ajánlott a rendszert újratelepíteni, mivel átnézése komoly erőfeszítést igényelhet, a behatoló tevékenységétől függően, illetve szinte biztosra vehető, hogy nem találunk meg minden trójai/backdoor/sniffer programot.


Gyakran megváltoztatott file-ok:

Töröljünk minden gyanús, nem a rendszerhez tartozó file-t. Ajánlott minden könyvtár átnézése, ahonnan program futtatható. (A /dev, /boot, /var, stb. se maradjon ki!) Ellenőrizzük a setuid/setgid-es programokat, majd változtassuk meg az összes account jelszavát.

Minden log-ot mentsünk. Később ezekből talán visszanyerhető némi információ a betörő kilétéről vagy a támadó gép címéről, esetleg a feltört szolgáltatásról vagy a törés módjáról. Ezeket az információkat célszerű a security-l[42] listán közölni, hogy mások megelőző intézkedéseket tehessenek.

Célszerű menteni a megváltoztatott programokat is, mivel lehetséges, hogy egy eddig ismeretlen hibát kihasználva törték fel a gépet. Ebben az esetben pedig a hiba kiderítéséhez minden adat jól jön.

A log-ok elemzése során feltűnő gyanús címeket azonnal tiltsuk ki (hosts.deny vagy firewall), majd tájékoztassuk adminisztrátoraikat, mivel lehetséges, hogy az ő gépüket is ugródeszkaként használta valaki.

Ha már biztosak vagyunk abban, hogy mindent átnéztünk, nézzük át még egyszer a rendszert. Ha még mindig rendben van, visszakapcsolhatjuk a hálózatra.


next up previous contents
Next: Használt fogalmak definíciója Up: Linux szerverek biztonságos üzemeltetése Previous: Egyéb fontos dolgok   Contents

1999-12-21