Un sistema informático no sólo puede ser instruido para auto-destruirse una vez se produzcan las condiciones de riesgo consideradas por el intruso, sino también realizar tareas programadas de eliminación, sustitución de ficheros y ejecuciones de aplicaciones determinadas.
Es muy frecuente encontrar los comandos de sistema, módulos de kernel cargables (LKM), librerías dinámicas y etc modificados o reemplazados por la voluntad del intruso. Bajo estas circunstancias eso puede obligar a que el sistema operativo "mintiese". Examinando en este caso el estado del servidor, todo aparecerá en orden, pero en realidad el sistema está totalmente comprometido con cuatro, cinco... diez diferentes "back-doors" para permitir al atacante el fácil acceso al servidor en un futuro, teniendo instalado un "root kit" [10].
Si no hay seguridad de que las utilidades comunes estén mostrando la verdadera situación, se debe de utilizar aplicaciones alternativas, módulos de kernel cargables (LKM) o librerías dinámicas, sabiendo exactamente lo que se está haciendo y estar seguro cual de las respuestas que proporciona el sistema operativo es verdadera.
Se debe cuestionar permanentemente la información que el servidor está
proporcionando.
Sería aconsejable y mucho más fácil y seguro si simplemente
el disco duro fuese extraído de la máquina afectada y fuese montado
en modo sólo lectura en una estación de análisis similar
al servidor atacado.
Se debe también considerar montar el disco como noexec y nodev para asegurarse que no pueda ser ejecutada ninguna aplicación desde el disco duro comprometido y que se ignoren los ficheros de dispositivos en el directorio /dev. Es muy aconsejable estudiar bien la página man de la utilidad mount.
Ejemplo:
# mount -o ro,noexec,nodev /dev/hda1 /t
Si no disponemos de un equipo dedicado para el análisis, ni decidimos llevarlo por la vía oficial, pero tenemos el interés de conocer los detalles del ataque y el equipo tiene un CD-ROM, existen herramientas forenses que permiten el estudio "en situ". Un buen ejemplo de herramienta de este tipo es Biatchux [11] que permite tener de forma instantánea un entorno de análisis seguro, proporcionando copias íntegras de todos los binarios necesarios de GNU/Linux para llevar acabo la investigación. La utilización de esa técnica de investigación forense sale del entorno de este documento.
[Subir]