Re: [ml] suckit

Come suggerimenti di massima, nel caso tu voglia capire cosa e' successo, e 
assumendo che il sistema sia ancora acceso ma staccato dalla rete, direi di:
- scaricare e masterizzare un CD (anche boot-abile) per la forensic 
analysis. Helix e' ottimo, lo trovi qui:
http://www.e-fense.com/helix/download.html
e contiene dei binari statici che puoi usare per agire sul sistema finche' 
e' ancora in vita, limitando le interazioni col sistema visto che e' piu' 
che potenzialmente compromesso e quindi non ti puoi fidare neanche della 
shell (che devi prendere dal CD).
- sempre prendendo gli eseguibili dal response kit del CD, utilizzare quesi 
pochi comandi che ti possono servire per raccogliere informazioni "volatili" 
(tipo netstat e lsof). Le info le puoi mettere su supporto removibile, o 
redirigere tramite netcat su un'altro PC in rete chiusa.
- su helix trovi mac-robber, un tool parte dello SleuthKit che in modo 
automatico prende tutto (molto), ma attenzione perche' modifica il 
cosiddetto "access time" dei file che legge e quindi ti rende poi 
impossibile alcune analisi a posteriori (tipo analisi della timeline dei MAC 
times dei file, cioe' la sequenza di creazioni, modifiche e giustappunto 
accessi). Insomma io non lo farei a meno che tu non voglia rinunciare al 
piacere dell'analisi della timeline (a parte scherzi e' molto utile per 
capire poi che e' successo, si ottiene comodamente da autopsy).
- se c'e' qualche processo anomalo puoi farne un dump di cio' che c'e' in 
memoria usando pcat, parte del TCT (The Coroner Toolkit), e poi divertirti a 
debuggarlo a posteriori.
- poi stacchi la spina, fai il reboot sempre con helix e se il sistema lo 
puoi tenere off-line analizzi il live system per esempio usando autopsy 
(sempre dello SleuthKit e contenuto in helix), oppure fai un dump dei dischi 
(dd rediretto via netcat, poi ricordati di fare check del md5sum) e lo 
analizzi con calma su altro sistema (sempre con autopsy direi, e' comodo)

Training consigliati: la traccia 8 del SANS sulla forensic analysis, costoso 
e poco disponibile in europa, ma il top sull'argomento secondo me.

Libro sulla gestione incidenti e su computer forensics: buono, ma non 
completo come il training SANS:
"Incident Response and Computer Forensics", Second Edition; ISBN:007222696X

Step-by-step guide sull'incident handling del SANS: "Computer Security 
Incident Handling", versione 2.3.1 (http://store.sans.org)

Alfredo

---
Archivio: Settembre 2004 ml@xxxxxxxxxxxxx
Soggetto: [ml] suckit
Mittente: Marco Bellini
Data: Wed,  8 Sep 2004 18:20:05 +0200 (CEST)

ciao a tutti,
scusate la banalità della domanda ma non ho esperienza nel campo.
stasera abbiamo trovato una macchina (vecchia red hat 7.3) bucata,
perché all'avvio si presentava la scritta che diceva che veniva avviato
suckit.
l'abbiamo staccata dalla rete, ovviamente. vorrei sapere quale sarebbe
la migliore prassi da seguire per cercare di capire
1. chi è entrato
2. come ha fatto (forse un overflow di apache, am come faccio a
verificarlo? appena posso posto i log di apache con quella riga
sospetta...)
3. se ha compromesso altre macchine

in sintesi, vorrei sapere come muovermi per non perdere dati utili e
fare danni... suggerimenti o letture da fare sono ben accetti!

grazie

Marco
--
stitch:~# apt-get moo
        (__)
        (oo)
  /------\/
 / |    ||
*  /\---/\
   ~~   ~~
..."Have you mooed today?"..

_________________________________________________________________
Tired of spam? Get advanced junk mail protection with MSN 8. 
http://join.msn.com/?page=features/junkmail