Does anyone have a general step by step list on how to try discover rootkits on a Linux or Solaris server?
Fase 1: scollegare la macchina in questione da tutti i canali di comunicazione: Ethernet, WiFi, Bluetooth, seriale, Firewire, USB, cavo audio, infrarossi, parallelo. Solo il cavo di alimentazione, il cavo della tastiera e il cavo del monitor devono rimanere collegati. Verificare le emissioni RF con un analizzatore di spettro RF calibrato. Procedi solo quando hai verificato la disconnessione della comunicazione.
Secondo set: se il sistema ha un'unità CD-ROM o DVD-ROM ed è in grado di avviarsi dal CD-ROM, su un sistema clean clean preparare un CD-ROM di attacco RAM di avvio a freddo. Altrimenti, procedi al passaggio tre. Strumenti disponibili gratuitamente per l'attacco a freddo: msramdump e Princeton .
Fase tre: se hai preparato un disco di attacco per avvio a freddo nel Passaggio due non spegnere la macchina . Disconnettere il / i disco / i rigido / i. Poiché ogni unità è scollegata, etichettala con un'etichetta colorata. Sull'etichetta scrivi 'Infected', l'ora e la data, il nome del sistema da cui è stato rimosso. Inserisci ogni unità in un contenitore di archiviazione appropriato.
Fase quattro: se non hai preparato un disco di attacco per avvio a freddo nel passaggio due, fai prima il passaggio sei. In caso contrario, inserire il disco di attacco di avvio a freddo e riavviare la macchina. Cattura il contenuto della RAM e salvalo su CD-R o DVD-R. Assicurati di finalizzare il disco per ogni registrazione. Dopo aver salvato il contenuto della RAM, spegnere la macchina.
Fase 5: su una macchina separata, nota bene, analizzare il dump della RAM. Verifica la presenza di firme in formato file eseguibile. Controlla le firme dei virus. Confronta con un dump di una macchina funzionante con lo stesso sistema operativo.
Fase 6: sul sistema di analisi disabilitare qualsiasi automount, autoplay, plug and play o qualsiasi servizio che agisce sul rilevamento di una nuova unità. Verificare che il sistema non intraprenda alcuna azione sul nuovo allegato di unità collegando una buona unità nota dello stesso tipo di connettore fisico delle unità del sistema infetto. Se il sistema infetto ha unità di più di un tipo di connessione fisica, quindi testare il sistema di analisi con un'unità nota per ogni tipo di connettore fisico. Se sono presenti più unità, collegare una sola unità alla volta alla macchina di analisi. Creare un'immagine di ciascuna unità e quindi archiviare le unità in contenitori appropriati.
Passaggio sette: iniziare l'analisi sull'immagine del disco di avvio principale. Utilizzando l'analisi statica, controlla la sequenza di avvio. Esegue l'analisi binaria differenziale sui componenti di inizializzazione del sistema operativo primario, tra cui la struttura dei meta-dati dei file e l'ordine di creazione.
Fase 8: iniziare l'analisi delle librerie di sicurezza critiche.
Passo 9: Inizia l'analisi degli strumenti di amministrazione del sistema, dei registri e dei file di configurazione.
Passo 10: Inizia l'analisi di servizi e demoni.
Step undici: Inizia l'analisi delle applicazioni.
Fase 12: iniziare l'analisi dei file utente e dei file rimanenti.
Places to look for suspicious files?
Ogni file dovrebbe essere considerato sospetto finché non avrai verificato che non lo è.
Search commands to pick up weird file behavior?
Nessun comando dovrebbe essere eseguito su una macchina potenzialmente compromessa. Non appena si sospetta che un sistema possa essere compromesso, dovrebbe essere disconnesso per tutti i canali di comunicazione. Se il sistema non è un candidato per un attacco di avvio a freddo sulla RAM, allora dovrebbe essere spento immediatamente e il cavo di alimentazione rimosso.
Weird looking traffic picked up from sniffer?
Nessun traffico dovrebbe essere inviato o ricevuto su una macchina potenzialmente compromessa.
Checking file integrity on important commands in order to know if you can trust it or not?
L'integrità del file può essere verificata su un computer di analisi utilizzando le immagini di unità di sola lettura se si dispone di un database di integrità file noto. Ogni file nel database dovrebbe essere controllato.