Em caso de comprometimento, geralmente há duas ideias:
-
tire a máquina da rede AGORA, pois isso pode causar mais danos. Verifique como o bandido entrou e reconstrua a máquina a partir do zero sem essa lacuna específica. Apenas restaure a partir de backups o que exatamente foi verificado como "ok", não fique tentado a restaurar "o backup mais recente" e "remova alguns scripts suspeitos". Você não sabe quando o invasor entrou em sua caixa e, com um pouco de azar, sua restauração a partir do backup também pode reinstalar o rootkit do invasor ou outro malware.
-
crie informações forenses úteis e coloque a máquina offline depois.
A informação forense é mais do que isso:
- link para tirar instantâneos de sua RAM em disco (ou rede)
-
tcpdump -s 0 -w dumpfile.pcap
para capturar o tráfego de rede e depois analisar isso num hospedeiro diferente / dedicado, e. usando wireshark ou software similar.
De qualquer forma: - Esteja ciente de que o invasor não está limitado a tcp. eles também podem usar o udp ou qualquer protocolo baseado em ip. - Se o intruso ganhou acesso root, eles podem ter alterado os mecanismos de registro. Você não pode mais confiar nos registros da máquina, os logs podem ter sido filtrados.
Se você ainda quiser realizar alguns registros do iptables:
iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7
deve fazer o truque.