[Pluto-security] VErificare un sistema compromesso

Marco Cova giardini@libero.it
Sun, 25 Aug 2002 16:33:24 -0700


On Mon, Aug 26, 2002 at 12:30:44AM +0200, Sereni Maurizio wrote:
> Salve a tutti
> ho la "quasi" certezza che qualcuno sia penetrato in un server che
> amministro e vorrei verificare meglio fino a che punto si è spinto e
> cos'hà combinato.

La cosa ideale sarebbe:

0) stacca il computer dalla rete
1) fai un backup dell'hardisk usando i programmi che trovi su un cd di
installazione (i.e. sicuramente non compromessi (beh, si spera))
2) re-installa da capo il sistema
3) aggiorna tutti i programmi
4) riconnetti alla rete il computer
5) analizza la situazione usando l'immagine dell'hard-disk. 

Il punto 5) mi sembra francamente difficile: senza IDS di alcun tipo,
l'unica informazione che hai e' quella dei vari log, che possono
essere facilmente modificati...
Comunque, qui dovresti trovare delle informazioni utili:
http://rr.sans.org/incident/incident_list.php

HTH,
Marco