[Pluto-security] VErificare un sistema compromesso

Sereni Maurizio rizio@database.it
Tue, 27 Aug 2002 21:01:03 +0200


Marco Cova ha scritto:
> 
> La cosa ideale sarebbe:
> 
> 0) stacca il computer dalla rete
> 1) fai un backup dell'hardisk usando i programmi che trovi su un cd di
> installazione (i.e. sicuramente non compromessi (beh, si spera))
> 2) re-installa da capo il sistema
> 3) aggiorna tutti i programmi
> 4) riconnetti alla rete il computer

Probabilmente è la cosa migliore da fare anche se devo fare la cose in
modo totalmente trasparente agli utenti, perciò proverò a fare un'altro
PC (tutto fuori rete - fino al possibile)e sostituirlo all'ultimo con
quello compromesso.

> 5) analizza la situazione usando l'immagine dell'hard-disk.
> 
> Il punto 5) mi sembra francamente difficile: senza IDS di alcun tipo,
> l'unica informazione che hai e' quella dei vari log, che possono
> essere facilmente modificati...

Temo anch'io e penso che installarlo adesso sia pressochè inutile, mi
hanno parlato di root-kit veramente fenomenali per la manipolazione
dello std-output e log.

> Comunque, qui dovresti trovare delle informazioni utili:
> http://rr.sans.org/incident/incident_list.php

Speravo di poter analizzare la macchina con tool tipo nessus o satan per
verificare eventuali back-door e risalire la corrente fin dove è
possibile, vi sembra possibile ? Se si avete altri software da
consigliare ?
Domattina comunque verifico il link che mi hai passato e spero di
chiarirmi ulteriormente le idee.

> 
> HTH,
> Marco
> 

Comunque vi ringrazio moltissimo per le tempestive risposte ma purtroppo
non riesco a rispondere "real-time" perchè uso l'indirizzo di casa.

Rizio


--
<<Messaggio verificato dal servizio antivirus di Database Informatica>>