Итак, вы следуете советам этого (или какого-либо еще) документа и обнаружили вторжение. Перво-наперво нужно оставаться спокойным. Поспешные действия могут принести больше вреда нежели сам взломщик.
Обнаружение процесса нарушения безопасности может быть напряженным предприятием. Поскольку ваши ответные действия могут иметь большие последствия.
Если нарушение, которое вы обнаружили имеет физическую природу, есть шансы, что вы обнаружите того, кто вломился в ваш дом, офис или лабораторию. Вы должны предупредить своих представителей власти. В лаборатории вы можете обнаружить кого-либо, пытающегося открыть дипломат или перезапустить машину. В зависимости от ваших полномочий и инструкций, вы можете сами приказать ему остановиться или сообщить службе безопасности.
Если вы обнаружили локального пользователя, пытающегося нарушить систему безопасности, перво-наперво сообщите ему все, что вы о нем думаете. Проверьте систему, с которой он зарегистрировался. Та ли это система, с которой он обычно регистрируется? нет? Тогда используйте уже не электронные средства общения. Например, позвоните ему по телефону или посетите его офис/дом и поговорите с ним. Если он признает, что это был он, потребуйте с него объяснений, что он делал в вашей системе, и убедите его не делать больше этого. Если это был не он и не может понять о чем идет речь, то скорее всего этот инцидент требует дальнейшего расследования. Тщательно исследуйте инцидент и прежде чем выдвигать обвинения, соберите побольше доказательств.
Если вы обнаружили вторжение в сеть, перво-наперво (если вы можете) отсоедините вашу сеть. Если вторжение произошло через модем, отсоедините модемный кабель, тогда взломщик вероятнее всего подумает о проблемах связи, а не об обнаружении.
Если вы не можете отсоединить сеть (идет интенсивная работа, или вы не имеете физического контроля над системой), то наилучшим будет использовать что-то наподобие tcp_wrapper или ipfwadm для запрещения доступа из системы взломщика.
Если вы не можете запретить доступ всем из сети взломщика, то нужно заблокировать счета пользователей. Помните, что блокирование счетов дело не легкое. Вы должны помнить о файлах .rhosts, ftp доступе и черных входах.
После того, как вы сделаете что-либо из вышеперечисленного (отсоедините сеть, запретите доступ из сети взломщика и/или заблокируете их счета), вы должны убить все его пользовательские процессы.
Некоторое время после этого вы должны очень внимательно отслеживать состояние вашей системы, поскольку взломщик может попробовать повторить вторжение. Вероятнее всего используя другой счет и/или с другого сетевого адреса.
Итак, вы либо обнаружили нарушение безопасности, которое уже произошло, либо обнаружили его и заблокировали деятельность взломщика в вашей системе (короче, выдворили его). Что же теперь?
Если вы можете определить, что использовал взломщик для внедрения в вашу систему, вы должны попытаться закрыть эту дыру. Например, возможно вы увидите несколько ftp входов, прежде чем пользователь зарегистрировался. Выключите FTP сервис и проверьте существует ли его обновленная версия или какой-либо список заплаток известных ошибок.
Проверьте все ваши журнальные файлы, а затем посетите ваши списки безопасности и web-узлы на предмет наличия каких-либо новых обнаруженных ошибок, которые вы можете исправить. Исправления для системы безопасности Caldera вы можете найти по адресу http://www.caldera.com/tech-ref/security/. Red Hat еще не имеет отдельной страницы по ошибкам безопасности от общих ошибок, но их дистрибутив errata доступен по адресу http://www.redhat.com/errata Очень вероятно, что если один поставщик выпустит обновление в области безопасности, то большинство остальных поставщиков Linux сделают тоже самое.
Если вы не локализовали и не заблокировали взломщика, вероятнее всего он вернется. Не обязательно на ваш компьютер, может на какой-то другой, но в вашей сети. Если взломщик использовал пакетные ищейки, большие шансы, что он имел доступ и к другим локальным машинам.
Перво-наперво нужно оценить повреждения. Что было нарушено? Если вы используете тестер целостности такой как Tripwire - запустите его и он вам все расскажет. Если нет, просмотрите все - особенно важные данные.
Так как системы Linux становиться все легче и легче инсталировать, вы можете скопировать куда-то ваши конфигурационные файлы, а затем полностью очистить диск и переинсталировать систему, восстановить файлы пользователей с резервных копий и скопировать назад конфигурационные файлы. Это будет гарантировать полностью чистую систему. Если вам нужно сделать резервную копию взломанной системы, будьте особенно внимательны к выполняемым файлам, которые вы резервируете, поскольку они могут быть "троянами", оставленными взломщиком.
Лучшим решением в плане безопасности является регулярное резервирование. Если ваша система подверглась вторжению, вы всегда сможете восстановиться с резервных копий. Конечно, некоторые данные могут быть ценны и для взломщика, и он могут не столько удалять их, но и воровать, делая себе копии, но в конце концов вы по крайнем мере сохраните эти данные.
Прежде чем восстановить поврежденный файл вы должны проверить несколько прошлых резервных копий, а не только последнюю. Может быть, что взломщик орудовал некоторое время назад, и вы успешно сделали несколько резервных копий уже поврежденных файлов!!!
Конечно, существует также понятие безопасности резервных копий. Убедитесь, что вы храните их в надежном месте. Знаете, кто имеет туда доступ. (Если взломщик получит ваши резервные копии, он будет иметь все ваши данные, а вы даже знать об этом не будете.)
Хорошо, вы заблокировали взломщика, восстановили вашу систему, но это еще не все. Поскольку маловероятно, что все взломщики будут пойманы, вы должны сообщить об атаке.
Вы должны сообщить об атаке администратору системы, с которой была атакована ваша система. Вы можете найти этого администратора с помощью "whois" или базы internic. Вы можете послать ему по электронной почте содержимое системных журналов с датой и временем событий. Если вы заметили еще что-либо отличающее вашего взломщика, вы можете также сообщить об этом. После посылки сообщения по e-mail, вы должны (если вы к этому склонны) связаться по телефону. Если обнаружиться, что система того администратора была только проходным звеном, он может отследить и связаться с администратором системы, с которой взломщик проник к нему, и т.д.
Опытные взломщики часто используют большое количество посреднических систем. Некоторые (или многие) из которых, могут даже и не знать, что они были взломаны. Отследить обратно путь взломщика аж до его домашней системы может быть очень трудно. Будьте очень вежливы с администраторами других систем при выслеживании и они вам много в чем помогут.
Вы можете сообщить также в организацию безопасности, членом которой вы являетесь (CERT или подобную).