Product SiteDocumentation Site

Capítulo 11. Depois do comprometimento do sistema (resposta a incidentes)

11.1. Comportamento comum
11.2. Efetuando backup do sistema
11.3. Contate seu CERT local
11.4. Análise forense
11.5. Analysis of malware

11.1. Comportamento comum

Se você estiver fisicamente presente quando o ataque ocorrer, sua primeira obrigação é tirar a máquina da rede desconectando o cabo de rede da placa (se isso não for influenciar nas transações dos negócios). Desativando a rede na camada 1 é a única forma de manter o invasor longe da máquina comprometida (conselho sábio de Philip Hofmesiter).
Entretanto, alguns rootkits ou back doors são capazes de detectar este tipo de evento e reagir a ele. Ver um rm -rf / sendo executado quando você desativa a rede não é muito engraçado. Se você se nega a correr o risco e tem certeza que o sistema foi comprometido, você deve desconectar o cabo de energia (todos eles se existirem mais de um) e cruzar os dedos. Isso pode ser extremo mas, de fato, irá evitar qualquer bomba lógica que o invasor possa ter programado. Nesses casos, o sistema comprometido não deve ser reiniciado. Os discos rígidos também devem ser colocados em outro sistema para serem analisados, ou deve ser usado outro tipo de mídia (um CD-ROM) para inicializar o sistema e analisá-lo. Você não deve usar os discos de recuperação do Debian para inicializar o sistema, mas você pode utilizar o shell fornecido pelos discos de instalação (use Alt+F2 para acessá-lo) para analisar o sistema. [66]
The most recommended method for recovering a compromised system is to use a live-filesystem on CD-ROM with all the tools (and kernel modules) you might need to access the compromised system. You can use the mkinitrd-cd package to build such a CD-ROM[67]. You might find the http://www.caine-live.net/ (Computer Aided Investigative Environment) CD-ROM useful here too, since it's also a live CD-ROM under active development with forensic tools useful in these situations. There is not (yet) a Debian-based tool such as this, nor an easy way to build the CD-ROM using your own selection of Debian packages and mkinitrd-cd (so you'll have to read the documentation provided with it to make your own CD-ROMs).
Se você realmente quer consertar um sistema comprometido rapidamente, você deve tirar o sistema da sua rede e reinstalar todo o sistema operacional do zero. Claro, isto pode não ser efetivo porque você não saberá como o invasor comprometeu o sistema. Neste caso, você deve verificar tudo: firewall, integridade de arquivos, host de log, arquivos de log entre outros. Para mais informações do que fazer siga um guia, veja http://www.sans.org/y2k/DDoS.htm ou http://www.cert.org/tech_tips/root_compromise.html.
Algumas perguntas freqüentes de como lidar com um sistema Debian GNU/Linux estão disponíveis em Seção 12.1.2, “Meu sistema é vulnerável! (Você tem certeza?)”.

[66] Se você for aventureiro, você pode efetuar o logon no sistema e salvar as informações de todos os processos em execução (várias dessas informações estão em /proc/nnn/). É possível pegar todo código executável da memória, mesmo se o invasor tiver excluído os arquivos executáveis do disco. Então puxe o cabo de força.
[67] >In fact, this is the tool used to build the CD-ROMs for the http://www.gibraltar.at/ project (a firewall on a live CD-ROM based on the Debian distribution).