56 votos

Vuelva a instalar después de un peligro de Raíz?

Después de leer esta pregunta en un servidor de compromiso, me empecé a preguntar ¿por qué las personas siguen parecen creer que se puede recuperar un sistema dañado mediante la detección de la limpieza de herramientas, o simplemente arreglar el agujero que fue utilizada para comprometer el sistema.

Dado que todas las diversas root kit de tecnologías y otras cosas que un hacker puede hacer la mayoría de los expertos sugieren que usted debe volver a instalar el sistema operativo.

Estoy esperando a tener una mejor idea de por qué más gente no acaba de despegar y nuke el sistema de la órbita.

Aquí hay un par de puntos que me gustaría que se abordaran.

  • Hay condiciones donde un formato y reinstalar no limpiar el sistema?
  • En qué tipos de condiciones ¿cree usted que un sistema puede ser limpiado, y cuándo hay que hacer un total de reinstalar?
  • Qué razonamiento ¿tiene usted en contra de hacer un completo reinstalar?
  • Si usted decide no volver a instalar, entonces, ¿cuál es el método que usan para estar razonablemente seguros de que usted ha limpiado y prevenir cualquier daño que ocurra de nuevo.

30voto

K. Brian Kelley Puntos 7714

Una decisión de seguridad es en última instancia una decisión de negocios sobre el riesgo, como es una decisión sobre qué producto para llevar al mercado. Cuando marco en ese contexto, la decisión de no nivel y vuelva a instalar tiene sentido. Cuando se considere estrictamente desde un punto de vista técnico, no.

Aquí es lo que normalmente entra en esa decisión de negocios:

  • ¿Cuánto de nuestro tiempo de inactividad nos costó en cantidad medible?
  • ¿Cuánto va a costado a nosotros cuando tenemos que revelar a los clientes un poco acerca de por qué estábamos?
  • ¿Qué otras actividades voy a tener que tirar a la gente lejos de hacer la reinstalar? ¿Cuál es el costo?
  • ¿Tenemos el derecho de las personas que saben cómo llevar el sistema sin error? Si no, ¿qué me va a costar como solucionar los errores?

Y por lo tanto, cuando se suman los costos, puede considerarse que continuar con un "potencialmente" todavía-sistema comprometido que es mejor que tener que reinstalar el sistema.

18voto

Avery Payne Puntos 11379

Siempre nuke en órbita. Es la única manera de estar seguro.

alt text

La mayoría de los sistemas son holístico entidades que tienen un interior, confianza implícita. Confiar en un sistema comprometido, está implícita una declaración de que usted confía en quien hizo el incumplimiento de su sistema para comenzar con. En otras palabras:

Usted no puede confiar en él. No te molestes con la limpieza. Desconectar y aislar la máquina de inmediato. Entender la naturaleza de la infracción antes de continuar, de lo contrario usted invitar a la otra vez lo mismo. Intenta, si es posible, para obtener la fecha y hora de la infracción, por lo que tienen un marco de referencia. Usted necesita esto porque si restaurar a partir de copia de seguridad, usted necesita estar seguro de que la copia de seguridad en sí no tiene una copia de la transacción. Limpie antes de restaurar - no tomar atajos.

5voto

Ryan Sampson Puntos 2898

Prácticamente hablando, la mayoría de las personas no lo hacen porque piensan que va a tomar mucho tiempo o ser muy perjudiciales. He asesorado a numerosos clientes de la probabilidad de continuar los problemas, pero un reinstalar a menudo es derribado por un tomador de decisiones para una de esas razones.

Dicho esto, en los sistemas donde estoy seguro de que sé que el método de entrada y el alcance total de los daños (apagado-máquina de registros, por lo general con un IDS, tal vez SELinux o algo similar que limite el alcance de la intrusión), he hecho una limpieza sin reinstalar sin sentirse demasiado culpable.

2voto

Guy Puntos 16718

Lo más probable es que no haya una recuperación de desastres de rutina que se ha probado lo suficiente como para que se sientan seguros en hacer una reconstrucción, o no está claro cuánto tiempo se tarda o ¿cuál sería el impacto... o copias de seguridad no son fiables o sus analistas de riesgo, que no entienden el alcance de un sistema comprometido. Puedo pensar en muchas razones.

Yo diría que es sobre todo algo fuera de lugar en las rutinas básicas y políticas, y que no es algo de lo que te gustaría admitir abiertamente - y en lugar de tomar una postura defensiva. Al menos yo no puedo ver a defender o no limpiar un sistema infectado, no importa con qué ángulo se mire.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: