Things to do after a hack

Unter dem Titel 11 things to do after a hack ver­sucht diese Seite, Hin­wei­se für den Fall eines Fal­les zu geben. Lei­der sind die Tips teil­wei­se nur gut ge­meint...

#5: "Eit­her dis­con­nect it from your net­work or route pa­ckets around it"
Je nach ein­ge­schleus­ter An­wen­dung auf dem Sys­tem keine gute Idee. Ein Ab­schnei­den vom Netz hat den Ab­bruch of­fe­ner TCP-Ver­bin­dun­gen zur Folge - ein wich­ti­ges Indiz, näm­lich mit wem der Rech­ner in Ver­bin­dung stand, geht ver­lo­ren. Eine aktiv ge­nutz­te Back­door kann zur IP des Ein­dring­lings füh­ren; ein of­fe­ner IRC-Chan­nel zeigt IRC-Ser­ver und -Ka­nal; etc.
Bes­ser: Erste Ana­ly­se mit einem Netz­werks­nif­fer. Dann ggf. eine "Mi­ni-Fire­wall" vor das be­trof­fe­ne Sys­tem set­zen, das zu­nächst ein­ge­hen­de Ver­bin­dun­gen blo­ckiert.
#6: "Shut down the sys­tem"
Aber nicht ein­fach so! Es gibt Ex­ploits, die nur im Spei­cher lau­fen und keine Spu­ren auf der Fest­plat­te hin­ter­las­sen. Sehr schwer zu fin­den, und auf lange lau­fen­den Ma­schi­nen wie Ser­vern nicht min­der ef­fek­tiv. Eine de­tail­lier­te Ana­ly­se des noch lau­fen­den Sys­tems ist sehr wich­tig - in kri­ti­schen Fäl­len am bes­ten einen kom­plet­ten Spei­cher­dump via Netz­werk si­chern. Mit Tools wie ide­tect oder WMFT (Win­dows Me­mo­ry Fo­ren­sic Tool­kit las­sen sich sol­che Dumps ana­ly­sie­ren. Eine trick­rei­che Mög­lich­keit, an ein Spei­cher­ab­bild her­an­zu­kom­men: DMA-Zu­griff via Fire­Wire.
#11: "Know when to quit"
Es fehlt der Hin­weis auf ein Neu­auf­set­zen des Sys­tems. Wenn der Vor­fall nicht voll­stän­dig auf­ge­klärt wer­den konn­te, ist es na­he­zu immer un­um­gäng­lich, das be­trof­fe­ne Sys­tem von Grund auf neu auf­zu­set­zen.