Cosa fare quando viene acquisito un account Linux?

0

Qual è il modo migliore di agire quando si scopre che un account Linux non amministratore è stato acquisito e un singolo processo esterno è in esecuzione, effettuando ogni sorta di connessione di rete?

Ad esempio, come si può ottenere un'istantanea completa del processo per l'analisi futura?

Prendi in considerazione che il file eseguibile stesso potrebbe essere stato eliminato, quindi anche il file binario in sé dovresti trovare attraverso un inode con qualcosa come debugfs , ma c'è anche la questione di preservare altre prove.

    
posta cnst 03.09.2014 - 21:07
fonte

1 risposta

2

Supponendo che l'account di root non sia stato compromesso (e questo è non una buona ipotesi - l'attaccante potrebbe aver usato un attacco di escalation di privilegi senza lasciare tracce), ci si può fidare dei file di log e utilità di sistema. In questo caso, dovrei scaricare la memoria del programma per l'analisi (ad esempio attivando un core dump ), archiviare l'utente file e le directory temporanee, quindi cancellare l'account e i file dell'utente e ripristinare dal backup.

I dettagli tecnici sono più adatti per un sito come Unix SE .

    
risposta data 03.09.2014 - 22:23
fonte

Leggi altre domande sui tag