Nästa Föregående Innehållsförteckning

10. Att göra efter en attack

Så du har följt några av råden här (eller någon annanstans) och har upptäckt en attack? Det första du skall göra är att vara lugn. Förhastade ageranden kan göra mer skada än vad inkräktaren skulle gjort.

10.1 Säkerhetsbrott på gång

Att upptäcka ett pågående säkerhetsbrott kan vara en känslig sak. Hur du reagerar kan få allvarliga konsekvenser.

Om brottet du ser är fysiskt så är det troligt att du har sett någon som har brytit sig in i ditt hem, kontor eller labb. Du bör då kontakta lokala myndigheter. I en labbmiljö kanske du har sett någon som försökt öppna en låda eller starta om en maskin. Beroende på din auktoritet och procedurer så kanske du kan be dem att sluta eller kontakta lokal säkerhetspersonal.

Om du har upptäckt en lokal användare som försöker bryta sig igenom säkerheten, så är det första du skall göra att bekräfta att de verkligen är de du tror att de är. Kolla sajten som de loggar in ifrån. Är det den sajten som de normalt loggar in ifrån? nej? Använd då ett icke elektroniskt sätt att komma i kontakt. Till exempel, ring dem per telefon eller gå till deras kontor/hus och prata med dem. Om de erkänner att de är påloggade så kan du be dem förklara vad de sysslar med eller be dem sluta med det. Om de inte är påloggade, och inte har en aning om vad du pratar om, så är chansen stor att incidenten kräver ytterligare undersökning. Undersök sådana incidenter, och samla på dig mycket information innan du anklagar någon.

Om du upptäcker ett säkerhetsbrott via nätverket, så är det första du skall göra (om du kan) att koppla ner ditt nätverk. Om de är anslutna via ett modem, dra ur modemsladden, om de är anslutna via ethernet, dra ur ethernetsladden. Detta hindrar dem från att göra ytterligare skada, och de antar antagligen att de har råkat ut för ett nätverksproblem snarare än att de blivit upptäckta.

Om du inte kan koppla ner nätverket (om du har en välanvänd sajt eller inte har fysisk kontroll över dina maskiner), så är det näst bästa sättet att använda program som tcp_wrappers eller ipfwadm för att neka access från inkräktarens sajt.

Om du inte kan neka alla personer från inkräktarens sajt, så får det duga med att låsa användarens användarkonto. Observera att det är inte lätt att låsa ett användarkonto. Du måste tänka på .rhosts-filer, FTP-access och en dator med bakdörrar.

När du gjort något av ovanstående (kopplat ner nätverket, nekat access från deras sajt eller låst användarkontot) så måste du döda alla deras användarprocesser och logga av dem.

Du bör kontrollera din sajt noga under de följande minuterna, eftersom attackeraren kommer att försöka komma in igen. Kanske genom att använda ett annat användarnamn och/eller från en annan nätverksadress.

10.2 Säkerhetsbrott har redan inträffat

Du har antingen upptäckt ett brott som redan inträffat eller du har upptäckt ett pågående brott och (förhoppningsvis) låst ute inkräktaren från ditt system. Sen då?

Stänga hålet

Om du kan lista ut på vilket sätt inkräktaren lyckades ta sig in i ditt system så bör du försöka stänga det hålet. Till exempel så kanske du ser ett flertal FTP-poster precis innan användaren loggade in. Stäng då av FTP-tjänsten och kolla om du kan hitta en uppdaterad version eller om någon av e-postlistorna vet någon fix.

Kolla alla dina loggfiler och kolla alla e-postlistor och webbsajter som handlar om säkerhet för att se om det finns några nya vanligt förekommande attacker som du kan fixa. Du kan hitta säkerhetsfixar för Caldera här: http://www.caldera.com/tech-ref/security/. RedHat har ännu inte delat upp säkerhetsfixar från buggfixar, men deras errata för distributionen finns på http://www.redhat.com/errata. Det är troligt att om en distributör har släppt en säkerhetsfix så har de flesta andra gjort det också.

Om du inte låser ute inkräktaren så kommer han antagligen tillbaka. Inte bara på din maskin utan någonstans på nätverket. Om han körde en paketsniffare så är risken stor att han har tillgång till andra lokala maskiner.

Ta reda på hur mycket skada som har skett

Det första att ta reda på är hur mycket skada som har skett. Vad har blivit attackerat? Om du kör en integritetskontroll som tripwire så kan du göra en körning och få reda på det. Om inte så får du titta runt bland dina viktiga data.

Eftersom Linux blir lättare och lättare att installera, så kan du överväga att spara dina konfigurationsfiler och sedan radera dina diskar och sedan installera om. Efter detta kan du återskapa användarfiler och konfigurationsfiler från säkerhetskopior. På detta sätt försäkrar du dig om att du har ett rent system. Om du måste säkerhetskopiera filer från ett attackerat system så skall du vara extra försiktig med att återskapa binärfiler, då de kan vara trojanska hästar som inkräktaren har placerat där.

Säkerhetskopior, Säkerhetskopior, Säkerhetskopior!

Att göra regelbundna säkerhetskopior är ovärderligt ur säkerhetssynpunkt. Om ditt system blir attackerat så kan du återskapa den data du behöver från säkerhetskopior. Självklart kan viss data även vara värdefull för attackeraren, och de kommer inte bara att förstöra den utan även stjäla den så att de har sina egna kopior, men du kommer åtminstonde att ha kvar den.

Du bör kolla flera säkerhetskopior bakåt i tiden innan du återskapar en fil som någon har mixtrat med. Inkräktaren kan ha blivit förändrade för länge sedan och du kan ha gjort flera lyckade säkerhetskopior av den filen.

Själklart så måste man tänka på säkerheten kring säkerhetskopiorna också. Se till att lagra dem på ett säkert ställe. Håll reda på vem som har tillgång till dem. (Om en inkräktare kan få tag på dina säkerhetskopior så kan han få tillgång till alla dina data utan att du någonsin får reda på det.)

Spåra inkräktaren

Okej, nu har du låst ute inkräktaren och återskapat ditt system, men du är inte riktigt färdig än. Även om det inte är troligt att inkräktaren åker fast så bör du rapportera attacken.

Du bör rapportera attacken till administratören på den sajt som inkräktaren loggade in ifrån. Du kan ta reda på vem administratören är med kommandot "whois" eller genom internic-databasen. Du kan skicka ett e-postmeddelande som innehåller alla nödvändiga loggposter, datum och tider. Om du har upptäckt något annat speciellt med din inkräktare så kan du nämna det också. Efter att du har skickat e-post så bör du (om du har lust) följa upp med ett telefonsamtal. Om administratören i sin tur upptäcker inkräktaren så kan han försöka kontakta administratören på nästa sajt, osv.

Duktiga crackers använder ofta flera mellanliggande system. Vissa (eller flera) som inte ens vet om att de blivit attackerade. Att försöka spåra en cracker till sin hemmasajt kan vara svårt. Att vara artig mot administratörerna som du talar med kan hjälpa mycket.

Du bör även meddela alla säkerhetsorganisationer som du är med i (CERT eller liknande).


Nästa Föregående Innehållsförteckning