Rimozione della pagina Web
Molti hacker principianti o che vogliono dimostrare ad amici la loro visita ad un sito Web, oppure solo per annunciare il proprio attacco, si divertono a cambiare il contenuto della pagina, in genere la home perché si nota prima, lasciando un riconoscimento del proprio passaggio oppure opinioni personali in merito al sito preso di mira, in questo caso motivati da un idea condivisa come abbiamo visto nei recenti Defacing di personaggi politici nei propri portali. Se uno o più hacker desiderano mantenere l'accesso, raramente annunciano in questo o altro modo il loro passaggio o presenza.
Diminuzione drastica dello spazio disco - Warez
Un hacker usa spesso sistemi degli altri per memorizzare warez (versioni illegali o cracked di software commerciale), tool di hacking, materiale pornografico o altri file che vogliono avere a disposizione o che intendono condividere con altri. Quando questo succede notiamo che lo spazio libero disco diminuisce velocemente, l'uso di df indicherà in questo caso l'uso corrente del disco.
Uso elevato della rete
Se l'attività appare elevata anche quando non stiamo svolgendo attività, qualcuno potrebbe usare il sistema per vedere file, come appena detto nella voce precedente, o per attaccare altri sistemi in rete. Verificare in questo caso con netstat -na oppure l'output di lsof per visualizzare quali connessioni esistono.
Contattare altri amministratori
Se il sistema è usato per attaccare altri sistemi, gli amministratori che sono sotto attacco possono contattare altri amministratori per farlo sapere. Questa sarebbe una buona idea, peccato solo che spesso cercando di avvisarli lo stesso amministratore che ne riceve l'avviso pensa si tratti dell'hacker stesso.
Interfacce di rete promiscue
Se gli hacker vogliono rimanere in ascolto delle reti in cui è connesso il computer, installeranno l'interfaccia in modalità promiscua, cioè per la cattura di tutti i pacchetti. Molto utile è esaminare le interfacce di rete con ifconfig -a e osservare nell'output se è presente PROMISC.
File di log annullati o troncati
Un hacker esperto è in grado di rimuovere singole righe dai file di log che mostreranno il suo accesso non autorizzato, mentre uno meno esperto può solo cancellare completamente i file. Di conseguenza, i file di log in cui mancheranno segmenti di tempo o sono cancellati in modo sospetto possono essere stati manomessi. Un buon metodo per verificare questi log mancanti è registrare i log in server aggiuntivi, per esempio tramite syslog, con cui poi è possibile fare un confronto.
Monomissione dei file utmp wtmp
Un hacker potrebbe cancellare le voci di login dai file utmp e wtmp con tools come wipe che svolge tale funzione velocemente o rimuovere completamente tali file per nascondere che si sono connessi. Se si notano dei troncamenti alla fine dei file è probabile che l'hacker abbia semplicemente cancellato il file. Strumenti come chklastlog e chkwtmp verificano questi file alla ricerca di segnali di manomissione.
Nuovi utenti di sistema
La presenza di nuovi utenti nel file delle password è un evidente segno che qualcuno ha compromesso il sistema, è probabile si tratti di un principiante che non pensa di poter essere scoperto. Spesso usano username simili agli utenti esistenti per nascondersi meglio, come lpr al posto di lp oppure uuupc1 o per i più temerari, nomi che fanno parte del gergo hacker come t00r, 0wn3d e simili.
Strani processi in esecuzione
Se si notano processi in esecuzione che non sono stati avviati e che non fanno parte del sistema è possibile che appartengono ad un hacker... voi che dite? Molti programmi saranno eseguiti con cron, perciò sarà necessario verificare il processo sospetto e vedere se non fa parte del sistema. Ad esempio, slocate è spesso fonte di preoccupazioni, poiché usa molte risorse di CPU e di disco nonostante sia una risorsa di sistema legittima, sebbene opzionale.
Uso di CPU senza spiegazioni
Gli hacker evoluti possono nascondere i loro processi o assegnare nomi di programmi di sistema legittimi come cron, inetd o slocate. Se il sistema mostra un elevato uso della CPU o se, semplicemente, sembra lento, la causa potrebbe essere l'hacker. Spesso usano programmi di verifica delle password, che sono generalmente molto pesanti per le CPU, alleggerendo cosi i propri sistemi.
Gli utenti locali non dispongono più degli account remoti
Un hacker si sposterà spesso seguendo gli utenti via via che accedono da un sistema al successivo. Accedendo al primo sistema, l'hacker potrebbe osservare le connessioni in uscita e compromettere l'account in un nuovo sistema, pertanto, un attacco di un utente in un sistema esterno può significare che l sistema diventerà presto un target o che è stato già oggetto di un attacco. In generale quando un account è compromesso, si consiglia di verificare la sicurezza di tutti gli altri account e modificare le password durante il processo.
Le cose sembrano strane
La maggior parte degli attacchi sono stati scoperti quando l'amministratore ha pensato che qualcosa non andava e ha iniziato la ricerca. A volte vengono fuori problemi non legati all'hacking, come dischi difettosi, memorie non funzionanti o modifiche di rete non annunciate, ma spesso ci si accorge che il sistema è stato visitato da un hacker. È importante identificare la causa di un comportamento anomalo del sistema.
Per finire
Dopo aver verificato un intrusione non rimane che correre ai ripari. Le opinioni come i metodi a questo punto si dividono e non sono applicabili ad ogni sistema, per cui si deve analizzare caso per caso la situazione. Su una cosa ci si mette tutti nella stessa posizione, identificare la falla e correggerla nel più breve tempo possibile, questo però potrebbe far si che il tempo impiegato non sia poi cosi breve per cui le operazioni anche in questo caso variano. Non rimane quindi che mettersi al lavoro e sperare di risolvere nel migliore dei modi.
Nessun commento:
Posta un commento