Was ist im Fall eines Einbruchs zu tun?

Symptome, die auf einem Einbruch hinweisen könnten :

  • Systemabsturz
  • Neue Accounts (die Sie nicht eingerichtet haben) oder hohe Aktivität eines sonst wenig genutzten Accounts
  • Neue, verdächtige Files (versteckte Files !)
  • Schrumpfen eines Logfiles
  • Veränderungen an Systemprogrammen
  • Files verschwinden
  • Denial of Service
  •  Extrem schlechte Systemperformance
  •  Anormales Systemverhalten
  • Zahlreiche erfolglose Einlogg-Versuche
  • Jemand hat administrative Rechte erlangt, obwohl nur Sie das Root- oder Administrator-Passwort wissen
  • User können sich nicht mehr in ihren Account einloggen

Was ist also zu tun ?

  • KEINE PANIK !
  • Kein Reboot.
  • Dokumentieren Sie unbedingt alle Schritte, die Sie von jetzt an tun. Das kann nützlich sein, um übereilte Schritte zu vermeiden und gibt Ihnen eine Aufzeichnung, die zukünftig wichtig sein kann.
  • Trennen Sie die Maschine oder die betroffenen Maschinen vom Campus-Daten-Netz, um die Kontrolle wiederzuerlangen.
  • Fertigen Sie eine Kopie der Festplatten des kompromittierten Systems an (Unix : Kommando dd, Windows: Third Party Applications)
  • Analysieren Sie den Einbruch. Suchen Sie nach Veränderungen an Binaries, System-Konfigurations-Files sowie Daten wie Webseiten, Nutzer-Home-Verzeichnissen oder File-Archiven. Auch auf vom Einbrecher hinterlassene Tools (Trojaner, Sniffer, Exploits, Key-Logger) sollte gecheckt werden. Hier erweist sich der Einsatz von Tripwire als besonders günstig, aber nur, wenn das Programm nicht kompromittiert ist sowie sichergestellt werden kann, daß sich Datenbasis und Konfigurationsfile außerhalb der betroffenen Maschine befinden bzw. ebenfalls nicht kompromittiert sind.
  • Checken Sie alle Logfiles. Beachten Sie dafür den Inhalt der Datei /etc/syslog.conf unter Unix, um herauszufinden, wo die System-Messages und weitere Logging-Files auflaufen. Unter Windows sind die Logeinträge in der Ereignisanzeige zu finden, Windows-Anwendungen wie der IIS könnten nach c:\winnt\system32\logfiles loggen.
  • Achtung ! Auf die Ausgabe von System-Komandos ist kein Verlass mehr ! Rootkits ersetzen Systemkommandos ! Die Ausgabe der Kommandos ist modifiziert, um Rootkits zu verbergen. Es sollten also nur Kommandos aus vertrauenswürdigen Quellen genutzt werden (z.B. von Installationsmedien).
  • Checken Sie die /etc/passwd (Unix) bzw. die Benutzerkonten (Windows) auf neue Einträge.
  •  Wenn Sie unter Unix R-Kommandos erlaubt haben, überzeugen Sie sich vom Inhalt der .rhosts-Files und der /etc/hosts.equiv.
  • Wenn Sie Anzeichen dafür entdecken, daß der Angreifer Aktivitäten außerhalb Ihres Netzwerkes ausgeübt hat, kontaktieren Sie die Administratoren dieser Netzwerke und liefern Sie ihnen so viele Details wie möglich.
  • Checken Sie andere Systeme in Ihrem Netzwerk.
  • Machen Sie den Vorfall bei einer dafür vorgesehenen Institution (z.B. CERT) publik. Das könnte zur Verfolgung von Trends aktueller Attacken nüzlich sein und Material für Advisories liefern. Außerdem können CERT's Ihnen behilflich sein.
  • Informieren Sie den Administrator der Maschine, von der aus der Einbruch erfolgt ist.

Wiederherstellung des Systems

OFFLINE :

  • Installieren Sie eine saubere Version des Betriebssystems.
  • Disablen Sie nicht benötigte Dienste.
  • Installieren Sie alle Security-Patches.
  • Schließen Sie die Sicherheitslücke.
  • Nutzen Sie ein Backup, von dem Sie sicher sind, daß es nicht kompromittiert ist.
  • Lassen Sie jeden Nutzer sein Passwort ändern!

Erst dann die Maschine ans Netz nehmen!


Genaue Instruktionen des Computer Emergency Response Team der Carnegie Mellon University in englischer Sprache finden Sie  hier.