Was tun wenn jemand unberechtigt Zugang zu meinem Server hat?!

djrick

Registered User
Entnommen aus aktuellen Anlass:
Huschi said:
Normales Vorgehen wenn wirklich ein Einbruch vorliegt:
- Auf keinen Fall einfach blind rebooten!
- Spuren sichern: /var/log/messages & .../secure & ps ax >ps.sicherung.txt
- Was hat der vermeintliche 'Einbrecher' gemacht? (bash-History durchblättern)
- Auf den gesicherten logs erstmal kleine Forensik betreiben.

Wenn wirklich ein Einbruch da war mit dd ein Image der (virtuellen) Platte ziehen. (Nur damit ist ein Einbruch wirklich nachzuweisen, bzw. die Spurensuche 100%ig nachzuvollziehen. Auch kann man damit den 'Weg' des Einbrechers durch die Platte nachträglich feststellen.)

Jeder Reboot, umschalten des Runlevels, killen von Prozessen, zuviel rumsuchen in den original Logfiles oder ähnliches verwischt die Spuren des Einbrechers.
 
Last edited by a moderator:
Top