web-dev-qa-db-fra.com

Réinstaller après un compromis racine?

Après avoir lu cette question sur un compromis de serveur , j'ai commencé à me demander pourquoi les gens continuent de croire qu'ils peuvent récupérer un système compromis à l'aide d'outils de détection/nettoyage, ou en fixant simplement le trou utilisé pour compromettre le système.

Compte tenu de toutes les diverses technologies de kit de racine et d'autres choses, un pirate informatique peut faire la plupart des experts suggérer que vous devriez réinstallez le système d'exploitation .

J'espère avoir une meilleure idée de savoir pourquoi plus de personnes ne sont pas simplement décoller et Nuke le système d'orbite.

Voici quelques points que j'aimerais voir adressé.

  • Existe-t-il des conditions où un format/réinstallation ne nettoie pas le système?
  • Dans quels types de types pensez-vous qu'un système peut être nettoyé et lorsque vous devez faire une réinstallation complète?
  • Quel raisonnement avez-vous contre une réinstallation complète?
  • Si vous choisissez de ne pas réinstaller, alors quelle méthode utilisez-vous pour être raisonnablement confiante que vous avez nettoyée et empêché plus de dommages supplémentaires de se produire à nouveau.
hackingsecurity
58
Zoredache

Une décision de sécurité est finalement une décision commerciale sur le risque, tout comme une décision sur le produit à entreprendre sur le marché. Lorsque vous l'encadrez dans ce contexte, la décision de ne pas niveau et de réinstaller a du sens. Lorsque vous le considérez strictement d'une perspective technique, ce n'est pas le cas.

Voici ce qui va généralement dans cette décision d'entreprise:

  • Combien de temps notre temps d'arrêt nous coûtera-t-il en quantité mesurable?
  • Combien cela nous coûtera-t-il potentiellement lorsque nous devons révéler un peu aux clients pourquoi nous étions en panne?
  • Quelles autres activités dois-je devoir éloigner les gens de faire le réinstallation? Quel est le coût?
  • Avons-nous les bonnes personnes qui savent comment élever le système sans erreur? Sinon, qu'est-ce que ça va me coûter comme ils dépannent des bugs?

Et par conséquent, lorsque vous additionnez les coûts comme ceux-ci, il peut être considéré que la poursuite d'un système "potentiellement" non compromis est mieux que de réinstaller le système.

31
K. Brian Kelley

J'ai déjà noué le système, de sorte que je puisse faire une analyse du vecteur sur lequel ils sont entrés et suivants anayysis de l'utilisation et pour voir où ils sont arrivés à l'intérieur.

Une fois que vous avez été enraciné - vous avez un honeypot en direct et vous pouvez offrir beaucoup plus que le piratage. - surtout pour la police.

  • cela dit que j'ai été utilisé dans le prévisionnement de pouvoir obtenir un système propre sur le stand-chaud et pour pouvoir offrir une sécurité de réseau améliorée rapide pour isoler la boîte enracinée.
2
littlegeek