System bereinigen
Wenn ein Rechner einem Cracker-Angriff zum Opfer
gefallen ist, sollte die Festplatte gelöscht, neu partitioniert und
formatiert und das Betriebssystem - in der aktuellsten Version mit
allen verfügbaren Sicherheits-Patches - neu installiert werden.
Wenn möglich, sollten die Anwenderdaten aus einer früheren Datensicherung,
am besten aus der Zeit vor dem Angriff, restauriert werden. Muß auf eine
spätere Sicherung oder die auf dem Rechner noch existierenden Dateien
zurückgegriffen werden, so sind die Daten kritisch zu überprüfen. Vom
Angreifer könnten zum Beispiel
- Kommandoprozeduren und Skripte modifiziert,
- Berechtigungen von Dateien oder Verzeichnissen geändert,
- Systemkommandos in Programmen (als system-Aufrufe o.ä.)
oder Grafikdateien (z.B. PostScript) versteckt,
- Zugangsberechtigungen in Secure-Shell-Dateien eingetragen oder
verändert,
- trojanische Pferde im Suchpfad der Kommando-Shell (z.B. in ~/bin,
die Vorrang vor gleichnamigen Systemprogramme bekommen,
installiert
worden sein und damit Einfallstore für einen erneuten Angriff vorbereitet
sein.
Außerdem müssen alle auf dem Rechner hinterlegten privaten Schlüssel
gelöscht, ggf. widerrufen und neu erzeugt werden, denn der Angreifer
kann diese Schlüssel kopiert haben und mit ihrer Hilfe die Identität des
Opfers annehmen, beispielsweise ssh-Zugänge zu anderen Systemen nutzen
oder Mails mit dem PGP-Schlüssel des Opfers signieren.
|
