¿Alguien tiene una lista general paso a paso sobre cómo intentar descubrir rootkits en un servidor Linux o Solaris?
Paso uno: desconecte la máquina en cuestión de todos los canales de comunicación: Ethernet, WiFi, Bluetooth, serie, Firewire, USB, cable de audio, infrarrojo, paralelo. Solo el cable de alimentación, el cable del teclado y el cable del monitor deben permanecer conectados. Compruebe las emisiones de RF con un analizador de espectro de RF calibrado. Solo proceda cuando hayas verificado la desconexión de la comunicación.
Dos de septiembre: si el sistema tiene una unidad de CD-ROM o DVD-ROM y es capaz de arrancar desde el CD-ROM, en un sistema que esté limpio, prepare un CD-ROM de ataque de RAM de arranque en frío. De lo contrario, continúe con el paso tres. Herramientas gratuitas para el ataque de arranque en frío: msramdump y Princeton .
Paso tres: si preparó un disco de ataque de arranque en frío en el paso dos, no apague la máquina . Desconecta el (los) disco (s) duro (s). Como cada unidad está desconectada, etiquétela con una etiqueta de colores brillantes. En la etiqueta, escriba 'Infectado', la hora y la fecha, el nombre del sistema del que se eliminó. Coloque cada unidad en un contenedor de almacenamiento adecuado.
Paso cuatro: si no preparó un disco de ataque de arranque en frío en el paso dos, vaya al paso seis. De lo contrario, inserte el disco de ataque de arranque en frío y reinicie la máquina. Capture el contenido de la RAM y guárdelo en un CD-R o DVD-R. Asegúrese de finalizar el disco para cada grabación. Después de guardar el contenido de la memoria RAM, apague la máquina.
Paso cinco: en una máquina independiente, analice el volcado de memoria RAM. Compruebe las firmas de formato de archivo ejecutable. Compruebe si hay firmas de virus. Compare con un volcado de una buena máquina conocida que ejecuta el mismo sistema operativo.
Paso seis: en su sistema de análisis, deshabilite cualquier montaje automático, reproducción automática, plug and play o cualquier servicio que actúe en la detección de una nueva unidad. Verifique que el sistema no realice ninguna acción en la nueva conexión de la unidad conectando una unidad en buen estado que tenga el mismo tipo de conector físico que las unidades del sistema infectado. Si el sistema infectado tenía unidades de más de un tipo de conexión física, entonces pruebe el sistema de análisis con una unidad que sepa que funciona bien para cada tipo de conector físico. Si hay varias unidades, solo conecte una unidad a la vez a la máquina de análisis. Cree una imagen de cada unidad y luego almacene las unidades en contenedores apropiados.
Paso siete: Comience el análisis en la imagen de la unidad de arranque principal. Usando análisis estático, verifique la secuencia de arranque. Realice un análisis binario diferencial en los componentes de inicialización del sistema operativo primario, incluida la estructura de metadatos de archivos y el orden de creación.
Paso ocho: Comience el análisis de las bibliotecas críticas de seguridad.
Paso nueve: comience el análisis de las herramientas de administración del sistema, los registros y los archivos de configuración.
Paso diez: comienza el análisis de servicios y daemons.
Paso once: Comienza el análisis de las aplicaciones.
Paso doce: comienza el análisis de los archivos de usuario y los archivos restantes.
¿Lugares para buscar archivos sospechosos?
Todos los archivos deben considerarse sospechosos hasta que hayas verificado que no lo están.
¿Buscar comandos para detectar un comportamiento de archivo extraño?
No se deben ejecutar comandos en una máquina potencialmente comprometida. Tan pronto como sospeche que un sistema puede estar comprometido, debe desconectarse de todos los canales de comunicación. Si el sistema no es candidato para un ataque de arranque en frío en la memoria RAM, debe apagarse inmediatamente y quitarse el cable de alimentación.
¿El tráfico de aspecto extraño se ha detectado en el sniffer?
No se debe enviar ni recibir tráfico en una máquina potencialmente comprometida.
¿Verificando la integridad del archivo en comandos importantes para saber si puede confiar o no?
La integridad del archivo se puede verificar en una máquina de análisis usando imágenes de unidad de solo lectura si tiene una buena base de datos de integridad de archivos. Cada archivo en la base de datos debe ser verificado.