[Pluto-security] VErificare un sistema compromesso
Beppe
beppebz@tin.it
Wed, 28 Aug 2002 12:27:13 +0200
Ciao !!!
Oltre hai normali IDS ( snort ecc. ) di rete ci sono anche IDS che si occ=
upano
di monitorare l'attivita dei singoli host.
Se hai il presentimento [ ... forse meglio dire una certezza ] potresti=20
installare un IDS del genere e vedere realmente cosa accade.
Ti consiglio " Hostentry " che rientra in un pacchetto che contiene 3=20
applicativi diversi. Non l'ho mai provato ma a quanto pare sembra essere =
uno=20
dei migliori per effettuare controlli di questo genere [ www.psionic.com=
]
Ciao Beppe
> > La cosa ideale sarebbe:
> >
> > 0) stacca il computer dalla rete
> > 1) fai un backup dell'hardisk usando i programmi che trovi su un cd d=
i
> > installazione (i.e. sicuramente non compromessi (beh, si spera))
> > 2) re-installa da capo il sistema
> > 3) aggiorna tutti i programmi
> > 4) riconnetti alla rete il computer
>
> Probabilmente =E8 la cosa migliore da fare anche se devo fare la cose i=
n
> modo totalmente trasparente agli utenti, perci=F2 prover=F2 a fare un'a=
ltro
> PC (tutto fuori rete - fino al possibile)e sostituirlo all'ultimo con
> quello compromesso.
>
> > 5) analizza la situazione usando l'immagine dell'hard-disk.
> >
> > Il punto 5) mi sembra francamente difficile: senza IDS di alcun tipo,
> > l'unica informazione che hai e' quella dei vari log, che possono
> > essere facilmente modificati...
>
> Temo anch'io e penso che installarlo adesso sia pressoch=E8 inutile, mi
> hanno parlato di root-kit veramente fenomenali per la manipolazione
> dello std-output e log.
>
> > Comunque, qui dovresti trovare delle informazioni utili:
> > http://rr.sans.org/incident/incident_list.php
>
> Speravo di poter analizzare la macchina con tool tipo nessus o satan pe=
r
> verificare eventuali back-door e risalire la corrente fin dove =E8
> possibile, vi sembra possibile ? Se si avete altri software da
> consigliare ?
> Domattina comunque verifico il link che mi hai passato e spero di
> chiarirmi ulteriormente le idee.
>
> > HTH,
> > Marco
>
> Comunque vi ringrazio moltissimo per le tempestive risposte ma purtropp=
o
> non riesco a rispondere "real-time" perch=E8 uso l'indirizzo di casa.
>
> Rizio