Quelles sont les principales étapes de l'analyse médico-légale d'une boîte Linux après qu'elle ait été piratée ?
Disons qu'il s'agit d'un serveur linux générique mail/web/database/ftp/ssh/samba. Et il a commencé à envoyer du spam, à scanner d'autres systèmes Comment commencer à chercher comment le piratage a été fait et qui est responsable ?
Vous devez d'abord vous demander : "Pourquoi ?"
Voici quelques raisons qui me paraissent logiques :
Aller au-delà n'a souvent pas de sens. La police s'en moque souvent, et si c'était le cas, elle confisquerait votre matériel et procéderait à sa propre analyse médico-légale.
En fonction de ce que vous découvrirez, vous pourrez peut-être vous faciliter la vie. Si un relais SMTP est compromis, et que vous déterminez que cela est dû à un patch manquant exploité par une partie extérieure, vous avez terminé. Réinstallez la boîte, corrigez ce qui a besoin de Parcheando et passez à autre chose.
Souvent, lorsque le mot "médecine légale" est prononcé, les gens ont des visions de CSI et pensent qu'il s'agit de découvrir toutes sortes de détails atroces sur ce qui s'est passé. Cela peut être le cas, mais n'en faites pas tout un plat si vous n'en avez pas besoin.
Je recommande vivement la lecture de " Les machines Linux mortes racontent des histoires "Un article de l'Institut SANS. Il date de 2003, mais les informations sont toujours valables aujourd'hui.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
