Quando viene a mancare il server di backup e rsync è solo la sigla di una Yamaha ecco le 10 regole d’oro per ripristinare il ripristinabile:
- 1) Niente panico!
Non agitarsi è un buon punto di partenza, anche se il sangue inizia a ribollire nelle vene non disperare
- 2) Via dalla rete!
Stacca il cavo di rete / Disabilita la scheda WireLess
- 3) Come hanno fatto?
Da qualche parte saranno entrati, inizia con tcpdump a vedere cosa esce/entra di buono/cattivo e preparati ad analizzare qualche file di log, ps aux e netstat -nap sono comandi utili
- 4) Ferma il malware!
Individuata la minaccia non rimane che fermarla. Sarebbe utile anche spostare tutti i binari compromessi su una bella chiavetta/fuori dal sistema. O se non hai tempo da dedicarci appuntati qualche particolare per analizzarlo attentamente più avanti.
- 5) Ripristino dei servizi
Qualsiasi “server” ha la sua indiscussa utilità, altrimenti avrebbe un altro nome come client o workstation. Ripristina i servizi non interessati dalla minaccia.
- 6) Analizza tutti i file / moduli compromessi
Capisci come e cosa hanno interessato i servizi compromessi. Analizza (gli script con un editor) i binari prima cercando su google casi simili, poi con un’altra macchina monti una distro Live (niente RETE!!) e prosegui l’analisi lanciando script/binari
- 7) Caffè / Siga
Giusto per non scrivere PAUSA 10 MINUTI…
- 8) Fix dei problema
Trovato il problema e appurata la bontà dei binari e dei moduli possiamo ripristinare i servizi interessati dal problema, riattaccare la rete!
- 9) Monitor sui servizi
Il fatto di aver eliminato la minaccia non significa aver sviluppato gli anticorpi necessari per sconfiggerne una nuova dopo pochi minuti. Tail -f del syslog, tcpdump e controllo dei moduli in userspace. lsof -p del pid del servizio attaccato precedetemente.
- 10) Pensarci prima: backup firewall ids & co.
Quasi quasi … 😀