Artigo altamente relevante publicado no site LinuxHaxor ( que eu atualmente virei super fã ) sobre como proceder no evento de uma invasão em sua estrutura computacional.
Concordo com muita coisa que o autor diz e ao mesmo tempo, acho que muita coisa tem que ser "comentada".
Assim, o que foi escrito pelo autor, vai estar em itálico e os meus comentários, vão estar em itálico.
Estas são algumas coisas que você deve fazer sempre que o seu sistema for comprometido por algum invasor, principalmente quando ele já teve acesso root e possibilidades de ter instalado um root kit em seu sistema.
1. Desconecte do seu sistema da rede.
Remova o seu sistema da internet e da sua rede local. Isto pode ser feito literalmente desplugando o cabo ( se ele estiver ligado ).
Este é um ponto interessante, desligar ou não da rede. Muitos autores defendem esta idéia e outros defendem que não se deve desligar.
Eu pessoalmente acho que o sysadmin deve ter bom senso. Um sistema comprometido é com um doente em uma mesa de hospital, literalmente, uma caixinha de surpresas.
Do mesmo modo que um médico faz exames em um doente antes de saber a ação que ele vai tomar, o analista ao pegar uma máquina assim, deve fazer o mesmo.
Caso desligue-se automaticamente da rede o sistema, também, incorre-se no perigo de desconectar o invasor no momento de alguma ação do mesmo. Ou seja, pode-se perder a chance de observer o que o mesmo está fazendo.
Assim, eu, Ataliba, acho que não se deve desligar a máquina da rede de cara. Deve-se, sim, analisar o ambiente antes de ter certeza que o desligamente da rede é realmente o mais indicado ;-)
2. Faça um backup. Antes de executar qualquer ação no sistema, faça um backup do mesmo no seu estado atual. O backup não será usado para restaurar nada depois da investigação. Na realidade, ele vai servir como evidência caso o processo todo vire um processo criminal caso o cracker tenha usado seu sistema para atacar outros.
Neste ponto, não posso discordar do autor. Está certo em falar sobre um backup. Mas, este backup na realidade é uma cópia fria, ou seja, fiel de todos os dados que estão no outro hd.
Para que isto tenha "validade" jurídica, todo o processo de investigação deve ser documentado e seguir uma metodologia.
Falo sobre isto na minha monografia de pós-graduação e vale a pena seguir os passos que eu cito por lá.
Outro ponto não citado pelo autor é : trabalhe na cópia dos dados e não no original, pois o original é que é a real evidência do crime.
3. Determine o método de intrusão. Este passo é mais fácil de falar do que fazer. Seus arquivos de log podem fornecer evidências do que foi feito para conseguir acesso ao sistema e também, alguma coisa que esteja funcionando fora da normalidade.
4. Limpe o sistema. Delete todos os arquivos de sistema no computador - arquivos de programas, bibliotecas, arquivos de configuração, e outros. Faça isto utilizando algum disco de emergência e crie novos sistemas de arquivos em cima das antigas partições.
Para se precaver mais um pouco, procure nas partições arquivos executáveis ( find /home -perm -0111 -type f para procurar isto no diretório home ) e avalie se elas podem ou não ser executadas.
5. Reinstale ou recupere o sistema. Reinstale o sistema do zero ou recupere o mesmo de um backup. Se necessário, recupere a configuração do sistema em um estado pré-intrusão ( ou seja, configure seu servidor do mesmo modo como ele estava antes de ser invadido ). Se estiver recuperando o sistema de um backup, tenha certeza que o backup foi feito antes da invasão.
Ponto mais que importante. Tenha certeza sempre que seus backups estão funcionando, pois em um momento como este a recuperação do seu sistema pode ser feita em muito menos tempo do que voltar o mesmo do zero.
6. Aumente a segurança do seu sistema. Atualize os pacotes antigos e conserte todos os possíveis métodos de intrusão que você identificar. Caso não encontre nada específico, faça um update geral do sistema e aumente o nível de segurança do mesmo.
Um dos grandes erros da maioria dos sysadmins novatos ( sim, eu já cometi este erro ), é instalar o sistema do zero, e retornar o mesmo ao ar, do jeito que ele estava antes da invasão.
Imagine, se o cracker entrou em seu sistema por uma falha e você a instalou novamente, é evidente que o cara irá entrar novamente no sistema, usando a mesma porta anterior.
O ponto mais importante, é, após descobrir o que foi feito, atualizar todo o sistema ( atualize tudo, todos os sistemas operacionais hoje tem listas de bugs/fixes ) e procurar algumas dicas de como tornar o sistema mais seguro.
NUNCA, MAIS NUNCA MESMO, COLOQUE ON LINE UM SISTEMA DO MESMO MODO EM QUE ELE ESTAVA ANTES DE UMA INTRUSÃO, ou, ele, vai ser novamente invadido :-)
7. Volte o sistema on line. Depois de efetuar todas os passos para tornar seu sistema mais seguro, finalmente, pense em retorná-lo a operação na rede. Neste ponto do processo o sistema deve estar limpo e muito mais seguro do que estava antes da invasão.
Resumindo, vida de sysadmin não é mole não :-)