11.2. Fare una copia di ripristino del sistema
Ricordate che, se siete sicuri che il sistema sia stato compromesso, non potete fare affidamento sui programmi installati né sulle informazioni restituite. Le applicazioni potrebbero essere state infettate da trojan, altri moduli del kernel potrebbero essere stati installati, etc.
La miglior cosa da farsi è una copia completa del file system (mediante dd
), dopo la reinizializzazione da un supporto sicuro. A tal fine, possono risultare comodi i CD-ROM di Debian GNU/Linux, dal momento che, iniziata l'installazione, forniscono, nella console 2, una shell raggiungibile con Alt+F2 e Invio. Da questa, si salvano le informazioni su un'altra postazione, se possibile (magari con un server di file di rete, tramite NFS/FTP), sì da poter svolgere, a sistema interessato non in linea, l'analisi del danno o la reinstallazione.
Se siete sicuri che la compromissione è avvenuta tramite un trojan installato in un modulo del kernel, potete avviare tramite l'immagine del kernel denominata rescue. Assicuratevi di avviare in modalità single user, per evitare che altri processi trojanizzati si avviino dopo il kernel.