erfahrungen mit server-einbruch? hilfe gesucht

[Bernhard Sadlowski]

On 26 Nov 2004 13:08, Johannes Vieweg <jvg at gmx.net> wrote:
> Am Freitag 26 November 2004 12:50 schrieb Bernhard Sadlowski:
> > 1. Rechner vom Netzwerk abziehen
> > 2. Systemstand sichern
> >    a) Laufende Prozesse o.ä. noch sichern mit z.B. ps axl
> > >/root/ps.txt
> 
> Ausserdem würde ich noch mit lsof und netstat arbeiten und
> einige weitere Systemzustände sichern.

ja. deswegen z.b. :)

Ein Problem könnte auch sein daß das "ps" schon ausgetauscht wurde und
nicht alles anzeigt. Vielleicht greift man dann auf ein statisch
gelinktes zurück das man von extern kopiert. Genauso auch mit anderen
tools.

> >    c) Mit sauberem System (z.B. Knoppix CD) den Rechner starten
> >    d) Alle relevanten Platten sichern per tar oder gleich per dd
> > die filesystemimages irgendwo im netzwerk sichern.
> 
> Hier den md5 hash nicht vergessen!!
> Und auf keinen Fall tar einsetzen, sofort mit dd arbeiten.

Stimmt, dd ist definitiv besser. tar wäre nur eine schnelle lösung, und
man könnte immer noch später imagebackups erstellen von den
originalplatten. md5 checksums von den systemplatten und von den
imagebackups ist eine sehr gute idee.
 
> > 4. Analyse des gehackten Systems, usw.
> 
> Es empfiehlt sich hier neben jeder Menge Zeit außerdem noch die
> Website www.computer-forensik.org oder www.computerforensik.org
> zu nutzen. 

Ja nachdem der Produktivrechner wieder läuft.

Gruss,
Bernhard

-- 
http://www.rz.fh-ulm.de/projects/datsusi/R0304_5.html
http://www.zeit.de/2004/29/Patente
http://www.sueddeutsche.de/computer/artikel/187/32155/
http://www.ffii.org/index.de.html