11.1. Comportamento comum
Se você estiver fisicamente presente quando o ataque ocorrer, sua primeira obrigação é tirar a máquina da rede desconectando o cabo de rede da placa (se isso não for influenciar nas transações dos negócios). Desativando a rede na camada 1 é a única forma de manter o invasor longe da máquina comprometida (conselho sábio de Philip Hofmesiter).
Entretanto, alguns rootkits ou back doors são capazes de detectar este tipo de evento e reagir a ele. Ver um
rm -rf /
sendo executado quando você desativa a rede não é muito engraçado. Se você se nega a correr o risco e tem certeza que o sistema foi comprometido, você deve
desconectar o cabo de energia (todos eles se existirem mais de um) e cruzar os dedos. Isso pode ser extremo mas, de fato, irá evitar qualquer bomba lógica que o invasor possa ter programado. Nesses casos, o sistema comprometido
não deve ser reiniciado. Os discos rígidos também devem ser colocados em outro sistema para serem analisados, ou deve ser usado outro tipo de mídia (um CD-ROM) para inicializar o sistema e analisá-lo. Você
não deve usar os discos de recuperação do Debian para inicializar o sistema, mas você
pode utilizar o shell fornecido pelos discos de instalação (use Alt+F2 para acessá-lo) para analisar o sistema.
The most recommended method for recovering a compromised system is to use a live-filesystem on CD-ROM with all the tools (and kernel modules) you might need to access the compromised system. You can use the
mkinitrd-cd package to build such a CD-ROM
. You might find the
http://www.caine-live.net/ (Computer Aided Investigative Environment) CD-ROM useful here too, since it's also a live CD-ROM under active development with forensic tools useful in these situations. There is not (yet) a Debian-based tool such as this, nor an easy way to build the CD-ROM using your own selection of Debian packages and
mkinitrd-cd (so you'll have to read the documentation provided with it to make your own CD-ROMs).
If you really want to fix the compromise quickly, you should remove the compromised host from your network and re-install the operating system from scratch. Of course, this may not be effective because you will not learn how the intruder got root in the first place. For that case, you must check everything: firewall, file integrity, log host, log files and so on. For more information on what to do following a break-in, see
http://www.cert.org/tech_tips/root_compromise.html or SANS's
https://www.sans.org/white-papers/.