Things to do after a hack

Unter dem Titel 11 things to do after a hack versucht diese Seite, Hinweise für den Fall eines Falles zu geben. Leider sind die Tips teilweise nur gut gemeint...

#5: "Either disconnect it from your network or route packets around it"
Je nach eingeschleuster Anwendung auf dem System keine gute Idee. Ein Abschneiden vom Netz hat den Abbruch offener TCP-Verbindungen zur Folge - ein wichtiges Indiz, nämlich mit wem der Rechner in Verbindung stand, geht verloren. Eine aktiv genutzte Backdoor kann zur IP des Eindringlings führen; ein offener IRC-Channel zeigt IRC-Server und -Kanal; etc.
Besser: Erste Analyse mit einem Netzwerksniffer. Dann ggf. eine "Mini-Firewall" vor das betroffene System setzen, das zunächst eingehende Verbindungen blockiert.
#6: "Shut down the system"
Aber nicht einfach so! Es gibt Exploits, die nur im Speicher laufen und keine Spuren auf der Festplatte hinterlassen. Sehr schwer zu finden, und auf lange laufenden Maschinen wie Servern nicht minder effektiv. Eine detaillierte Analyse des noch laufenden Systems ist sehr wichtig - in kritischen Fällen am besten einen kompletten Speicherdump via Netzwerk sichern. Mit Tools wie idetect oder WMFT (Windows Memory Forensic Toolkit lassen sich solche Dumps analysieren. Eine trickreiche Möglichkeit, an ein Speicherabbild heranzukommen: DMA-Zugriff via FireWire.
#11: "Know when to quit"
Es fehlt der Hinweis auf ein Neuaufsetzen des Systems. Wenn der Vorfall nicht vollständig aufgeklärt werden konnte, ist es nahezu immer unumgänglich, das betroffene System von Grund auf neu aufzusetzen.

comments powered by Disqus