next up previous index
Következő: 5.9.7.7 Amit érdemes elolvasni Fel: 5.9.7 Linux szerverek biztonsági Előző: 5.9.7.5 Egyéb fontos dolgok   Index

5.9.7.6 Ha már megtörtént a baj

A betörés észlelése után azonnal húzzuk le a hálózatról a gépet! Aztán jöhet a rendszerfile-ok átnézése a tripwire log alapján. Minden megváltozott binárist le kell cserélni, config file-okat, firewall rule-okat felülvizsgálni.

Gyakran megváltoztatott file-ok: binárisok: login, su, netstat, ps, who, stb. config file-ok: /etc/passwd, /etc/group, /etc/shadow, /etc/securetty, /etc/ssh/sshd_config, /etc/hosts*, name szerver config file-ok, stb.

Töröljünk minden gyanús, nem a rendszerhez tartozó file-t. Ajánlott az összes olyan könyvtár átnézése, ahonnan program futtatható. (A /dev-et se hagyjuk ki!) Ellenőrizzük az összes setuid/setgid jogosultságot használó programot.

Minden log-ot mentsünk. Később ezekből talán visszanyerhető némi információ a betörő kilétéről vagy a támadó gép címéről, esetleg a feltört szolgáltatásról vagy a törés módjáról. Ezeket az információkat célszerű a security-l listán közölni, hogy másoknál ne tudjon próbálkozni az illető. A lista zárt, feliratkozni a majordomo@sunserv.kfki.hu címen lehet 'subscribe security-l sajátnév' szöveggel a levél törzsében. Ezután jöhet az összes jelszó megváltoztatása, az userek értesítése.

A log-ok elemzése során a gyanús címeket azonnal tiltsuk ki (/etc/hosts.deny vagy firewall), majd tájékoztassuk adminisztrátoraikat, mivel lehetséges, hogy az ő gépüket is ugródeszkaként használta valaki.

Ha már biztosak vagyuk abban, hogy mindent átnéztünk, nézzük át még egyszer a rendszert. Ha még mindig rendben van, visszakapcsolhatjuk a hálózatra.


next up previous index
Következő: 5.9.7.7 Amit érdemes elolvasni Fel: 5.9.7 Linux szerverek biztonsági Előző: 5.9.7.5 Egyéb fontos dolgok   Index

1999-09-17