| BufferOverflow |
|
|
 |
| Anmeldedatum: 27.09.2006 |
| Beitrge: 4 |
|
|
|
|
|
 |
|
| BufferOverflow hat Folgendes geschrieben: | | DeKarlsQuell hat Folgendes geschrieben: |
Aber was tun wenn auf dem Server jetzt eingebrochen wurde?
1.
Alle Logfiles downloaden und sichern.
|
Falsch, erst die HD 1:1 spiegeln, siehe weiter unten
| Zitat: |
2.
Sofort die Ports der Deamons und die Passwrter ndern
Oder die Kiste vom Netz nehmen.
|
Was bringt dir das wenn der Angreifer ein Exploit genommen hat? Kannst deine PW's 1000x ndern, wird dir trotzdem nichts bringen.
| Zitat: |
3.
Auf Rootkits berprfen
|
Na toll am besten noch nette Programme fr die Arbeit installieren und man verpfuscht sich alles selber.... ach.. junge..
| Zitat: |
4.
In den logfiles nach Beweisen und IP-Adressen suchen und Anzeige erstatten!
|
Und der Angreifer, der ja root hat lscht die Logfiles natrlich nicht...
Trumst du???
Du hast von dem Teil keine Ahnung, was du machst ist Selbstmord, du vernichtest selber Spuren!
|
a) So wenig Befehle wie mglich abfeuern und so wenig wie mglich an Dateien manipulieren
b) Die komplette HD komplett 1:1 auf eine externe HD kompieren maybe mit "dd"
c) Den angegriffenen PC vom Netz trennen
d) Den angegriffenen PC NICHT herunterfahren, ausschalten, in standby oder hnliches
e) Die externe Platte in einen anderen Computer einbauen und hochstarten
f) Jede Datei einzeln durchsuchen und versuchen ein Muster zu finden, dies ist natrlich nur mglich, wenn man Ahnung hat.
g) Logfiles ansehen /var/log Bashhistory ansehen vim .bash_history laufende Prozesse ansehen, war ein rootkit, backdoor mit crownjobs dabei? dann die crownjobs ansehen
h) last, lastlog etc. ausfhren um die letzten zugriffszeiten zu bekommen
i) herauszufinden was mit der maschine passiert ist? dies kann ber fw logs, netzwerklogs, externen logs, filesystem manipulationen oder etc. herausgefunden werden
j) wenn man schlussendlich eine IP hat einen whois fahren, ist es ein gateway? ein proxy? eine andere bekannte firma? oder hat der angreifer keinen proxy etc. verwendet?
k) anzeige
---> Keine IP?
man gehe zu dem gehackten PC und mache ps -ax sieht man noch dateien im ram? verdchtige dateien? ports untersuchen aber NICHTS ndern. falls immer noch keine IP auftaucht, ein Programm schreiben welches auf RAW SOCKS sich vor den SSH Port bzw. ftp etc. schliet und bei verbindung folgendes ausliest:
+ IP Adresse
+ Username
+ Passwort
dann stellt man den pc wieder ins netz.... man muss nun hoffen dass der angreifer zurckkommt und wenn ja, hat man glck und hat seine IP, am besten sollte das Programm folgendermaen aufgebaut sein:
+ Kernelhook, damit sich der Prozess nicht "sehen" lsst
+ Logauf externen Server, damit der Angreifer die neuen logs nicht lschen kann oder log per mail senden sobald logfile>0kb
+ stabil und am besten mit c/c++
so das wars im kurzen  |
|
