| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Bueno, bien ha detectado un compromiso que ya a ocurrido o bien lo ha detectado y ha echado (espero) al atacante fuera de su sistema. ¿Y ahora qué?
Si ppuede determinar qué medios usó el atacante para entrar en su sistema, debería intentar cerrar el agujero. Por ejemplo, quizás ha visto varias entradas FTP justo antes de que el usuario entrara. Desactive el servicio FTP y compruebe y vea si hay una versión actualizada o alguna de la lista conocida de correcciones.
Verifique todos su ficheros de registro y haga una visita a sus páginas de listas de seguridad y vea allí su hay algún nuevo exploit común que pueda corregir. Puede encontrar las correcciones de seguridad de Caldera aquí http://www.caldera.com/tech-ref/security/. Red Hat no tiene separados sus correcciones de seguridad de errores, pero las erratas de sus distribuciones están disponibles en http://www.redhat.com/errata Es muy probable que alguno delos vendedores haya editado una actualización de seguridad, que la mayoría de los otros Linux también harán.
Si no elimina el atacante, probablemente volverá. No a su máquina, sino a cualquiera otra de la red. Si ejecutaban algún sniffer, tiene buenos recursos para tener acceso a las máquinas locales.
Lo siguiente que tiene que hacer es evaluar el daño. ¿Qué se ha comprometido? Si ejecuta un Verificador de Integridad como Tripwire podría decírselo. Si no, tendrá que mirar todos sus datos importantes.
Como los sistemas Linux se están volviendo más y más fáciles de instalar, podría considerar guardar sus ficheros de configuración y limpiar los discos y reinstalar, y después restaurar sus ficheros de usuario de las copias de seguridad y los ficheros de configuración. Esto asegura que tiene un sistema limpio. Si tiene ficheros de copias de seguridad del sistema comprometido, sea especialmente cuidadoso con los binarios que restaura, ya que pueden ser caballos de troya situados allí por el intruso.
Tener copias regulares de seguridad es una suerte para asuntos de seguridad. Si su sistema está comprometido, puede restaurar los datos que necesite de estas copias. Desde luego, algunos datos tienen valor para los atacantes y no sólo los destruirán , los robarán y tendrán sus propias copias, pero al menos tiene los datos.
Debería verificar varias copias de salvaguardia anteriores antes de restaurar un fichero que haya sido falsificado. El intruso podría haber comprometido sus ficheros hace tiempo y podría haber hecho muchas copias de seguridad del fichero falsificado.
Desde luego, también tiene que tener seguras sus copias de salvaguardia. Tenga cuidado de guardarlas en lugar seguro. Saber quien tiene acceso a ellos. (Si un atacante puede obtener las copias de seguridad, puede obtener acceso a todos los datos sin que ni siquiera lo sepa).
Ha expulsado al intruso y ha recuperado su sistema, pero no todo está hecho. Mientras sea improbable que la mayoría de los intrusos sean capturados, debería informar del ataque.
Debería informar del ataque al contacto con el admin en el sitio de donde el atacante atacó a su sistema. Puede buscar este contacto con whois o la base de datos del internic. Podría enviarles un mensaje de correo con todos los registros aplicables y fechas y horas. Si tiene algo más distintivo sobre su intruso, podría mencionarlo también. Tras enviar el correo (si le parece bien) podría llamar por teléfono. Si el admin localiza a su atacante, podría hablar con él.
Los buenos hackers con frecuencia usan muchos sistemas intermedios. Algunos (o muchos) puede que ni sepan que han sido comprometidos. Intentar seguir la pista de un cracker hasta su origen puede ser difícil. Siendo educado con los admins le puede llevar un largo recorrido obtener ayuda de ellos.
Debería notificarlo también a alguna organización de seguridad de la que foram parte (CERT o similar).
| <<< Previous | Home | Next >>> |
| 9.1 Compromiso de seguridad en Curso. | 10. Security Sources |