Pytanie: Wykryłem włamanie do serwera. Jakie należy podjąć kroki? Jak przygotować wierną kopię dysku systemu Linux, którą będzie można wykorzystać jako dowód w postępowaniu prawnym?

Odpowiedź: Przed sformatowaniem twardego dysku i ponowną instalacją systemu operacyjnego należy koniecznie wykonać pełen obraz systemu. Posiadanie kopii umożliwia nie tylko wykrycie sposobu włamania, ale może okazać się także nieocenionym dowodem w przypadku podjęcia czynności prawnych.

Warto sprawdzić, czy programy do tworzenia kopii nie zostały podmienione przez intruza. Do tego celu użyjemy narzędzia Tripware. Sprawdzamy sumy kontrolne oprogramowania md5sum oraz dd. Pierwsze narzędzie okaże się pomocne przy tworzeniu sumy kontrolnej partycji, natomiast drugie narzędzie utworzy obraz dysku. W przypadku wykrycia podmiany programów md5sum bądź dd należy użyć bezpiecznej kopii systemu ładowanego z płyty CD.

W żadnym wypadku nie powinno się ponownie uruchamiać systemu. Istnieje możliwość, że intruz umieścił skrypty, które uruchomią się w trakcie przeładowania systemu i spowodują zatarcie śladów włamania. Najlepszym rozwiązaniem jest odłączenie serwera od zasilania, a następnie uruchomienie systemu z innego bezpiecznego medium. Obecnie bardzo dużą popularnością cieszą się systemy określane mianem LiveCD, które umożliwiają wykonanie tej operacji. Do wykonania kopii dysku można użyć programu dd. Wcześniej warto jednak utworzyć sumę kontrolną. Robimy to poleceniem:

# md5sum /dev/hda > /root/md5.

Suma kontrolna zostanie utworzona w katalogu /root i będzie dotyczyła pierwszego dysku systemu Linux. Następnie tworzymy obraz dysku:

#dd if=/dev/hda of=/root/had.iso.

W ten sposób zabezpieczamy zaatakowany system, co da podstawę do dociekania sposobu włamania. Tak utworzona kopia systemu z pewnością będzie ważnym dowodem w postępowaniu prawnym.