[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2001 ml@sikurezza.org Soggetto: Re: "Tracing Kevin" e forensic analisys Mittente: Slaytanic Data: 15 Jun 2001 13:01:42 -0000
Spero tu non intenda "staccare la corrente" in senso letterale, altrimenti mi auguro che tu abbia un filesystem journaled e a prova di bomba, altrimenti invece delle prove potresti ritrovarti un sacco di skifezze negli inode oppure fumarti allegramente il superblock. Sono d'accordo sul fatto di "isolare" completamente quella macchina in maniera anche brusca, onde evitare che si "triggerino" certi eventi magari da parte di codice malevolo pero' "spegnerla" brutalmente non mi sembra una buona idea. > Le prove, infatti, non risiedono nella memoria (sarą un errore di > traduzione), ma nei diversi log che possono essere manomessi da eventuali > rootkit o altri espedienti nel caso tu non isoli completamente la macchina. Se e' per questo i worm per linux che girano attualmente ci impiegano circa 2 minuti a entrare, patchare, pulire i log e replicarsi.. e di solito se un attacker ha installato un rootkit, i log li ha gią puliti. Se invece di staccare la spina, iniziassimo a staccare l'interfaccia di rete ? bye, alex ----- Original Message ----- From: "Brigante" <briga_spp@bigfoot.com> To: <ml@sikurezza.org> Sent: Friday, June 15, 2001 2:20 AM Subject: Re: "Tracing Kevin" e forensic analisys > > Salve all, > > rileggendo il libro di Shimomura ripensavo al punto in cui > > parla a proposito di "bloccare" le macchine compromesse, anzichč > > spegnerle, in modo da conservare eventuali "prove" presenti > > nella sola memoria della macchina. > > Scusate la mia ignoranza ma non riesco proprio a capire come. > > Non penso intenda spegnere la macchina brutalmente e poi analizzare > > la partizione di swap montando l'hd su un'altra. Anche perchč > > sarebbe proprio un caso fortunato che la parte di memoria interessante > > si trovava nello swap in quel momento. > > E nemmeno piantare la macchina killando, che so, init. Perchč ovviamente > > non potrei accedervi pił ne da locale ne da remoto. > > Sembra pił una feature di "freeze" del sistema, forse esiste nei sistemi > > SPARC che usa lui? Oppure ancora, intendeva semplicemente dire che > > switchava in modalitą single-user? > > Spero che qualcuno mi aiuti a risolvere questo simpatico arcano :) > > Devi semplicemente staccare il cavo della corrente :-))) > Questa č la prima regola della forensics per tutti i computer compromessi. > Le prove, infatti, non risiedono nella memoria (sarą un errore di > traduzione), ma nei diversi log che possono essere manomessi da eventuali > rootkit o altri espedienti nel caso tu non isoli completamente la macchina. > Ciao > > Brigante > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005