|
|  |
 |
 TELEKOM |
 |
 |
|
|
|
Rechner geknackt, was nun? 
Checkliste- Maschine vom Netz trennen!
- Administrator verständigen. Alle weiteren Schritte nur im Beisein eines Experten durchführen.
- Andere Administratoren warnen. (Mailingliste)
- System untersuchen. Wenn möglich von einer Diskette booten, da Systemprogramme modifiziert sein könen.
- "Snapshot" vom System anlegen. (evtl. Beweismittel)
- Vergleich der Systemprogramme mit den Originalen (z.B. auf der Installations-CD). Häufig ausgetauschte Dateien bei Unix-Systemen sind: telnet, in.telnetd, login, su, ftp, ls, ps,netstat, ifconfig, find, du, df, libc, sync, inetd undsyslogd
- Untersuchen der Dateien /etc/passwd und der /etc/shadow bei Unix-Systemen. Bei anderen Plattformen untersuchen der User-Datenbank über entsprechende Programme: Möglicherweise wurden Benutzer hinzugefügt oder Benutzerrechte geändert.
- Untersuchung der Daten. Je nach Verwendungszweck des Rechners sollten kritische Daten untersucht werden, wie z.B. Verzeichnisse von FTP-Servern,HTML-Seiten bei Web-Servern, Programm-Verzeichnisse bei File-Servern.Achtung: Oft werden Programme in einem Verzeichnis namens "..." installiert, das man leicht übersieht.
- Sind zusätzliche Programme installiert worden? (Trojanische PferdeSniffer, etc.)
- Alle Systemlogfiles überprüfen, z. B.: messages, xferlog, wtmp,
utmp, warn
- Nach Beendigung der Untersuchung: Platte neu formatieren und System
neu installieren (Nötig bei Austausch der System-Programme durch den
Hacker!)
- Alle anderen betreuten Maschinen untersuchen
|
|
|
|
|
|
