erfahrungen mit server-einbruch? hilfe gesucht

Bernhard Sadlowski sadlowsk at mathematik.uni-bielefeld.de
Fri Nov 26 12:50:34 CET 2004 

Hallo Stefan,

On 26 Nov 2004 11:14, Stefan Pump <lug at pumpnet.de> wrote:
> ich habe den (99%ig sicheren) verdacht das auf einem debian
> system bei mir eingebrochen wurde.
> jetzt stehe ich vor dem problem was tun?
> 
> 1: versuchen heraus zu finden wie sich dieser jemand reingehackt hat
> 2: system wieder sichern
> 
> soweit die theorie.

falsche theorie?     
     
1. system sichern     
2. system neu installieren und zum laufen bekommen (falls wichtiges
   produktionssystem)
3. altes system untersuchen

> Der kollege hat eine spur hinterlassen und wenn er nicht so "schlau"
> gewesen wäre ein paar passwörter zu ändern, hätte ich den zugriff
> wahrscheinlich gar nicht bemerkt.
> 
> ich möchte das jetzt nicht alles hier breit treten und frage deshalb,
> wer sich mit solchen dingen auskennt und mir eventuell beiseite stehen
> kann die spuren/beweise für eine spätere strafanzeige zu sichern.
> 
> das system steht in gütersloh und ein vorort termin wäre 
> wahrscheinlich
> nötig.

1. Rechner vom Netzwerk abziehen
2. Systemstand sichern
   a) Laufende Prozesse o.ä. noch sichern mit z.B. ps axl >/root/ps.txt
   b) Rechner herunterfahren
   c) Mit sauberem System (z.B. Knoppix CD) den Rechner starten
   d) Alle relevanten Platten sichern per tar oder gleich per dd die
   filesystemimages irgendwo im netzwerk sichern.

3. Rechner frisch installieren, wenn möglich auf anderen platten
  a) von einem *guten* backup oder evtl. besser
  b) Neuinstallation
    - Konfigurationsdateien vom alten System suchen, untersuchen,
    einspielen
  c) Testen und in Produktion nehmen

4. Analyse des gehackten Systems, usw.

Siehe auch die Links in
http://www.linuxquestions.org/questions/archive/4/2004/05/3/183136

oder in google.de nach "Computer Forensics Analysis" o.ä. suchen.
 
HTH,
Bernhard

-- 
http://www.rz.fh-ulm.de/projects/datsusi/R0304_5.html
http://www.zeit.de/2004/29/Patente
http://www.sueddeutsche.de/computer/artikel/187/32155/
http://www.ffii.org/index.de.html

More information about the Linux mailing list