Réagir
en cas de problème
1. Evaluer les
dégâts
2. Corriger
le problème
-
Redémarrer
le système en mode monoutilisateur (se débarasser de tous
les utilisateurs)
-
Déconnecter
le système de tout réseau non
fiable (réseau internet)
-
Vérifier
l'intégrité des services (droits en exécution, droits
des répertoires)
-
Vérifier
que le noyau et les commandes publiques n'ont pas été modifiés
-
Contrôler
les fichiers avec le bit SUID
-
Contrôler
les droits d'accès sur les fichiers
spéciaux
-
Modifier
les mots de passe (en particulier celui de root)
-
Avertir
les utilisateurs des actions détectées.
Si problème sérieux (ex:
remplacement de /etc/passwd)
-
Sauvegarder
les fichiers indispensables
-
Sauvegarder
les fichiers de journalisation
et de comptabilité
(pour enquêter)
-
Réinstaller
le système d'exploitation
-
Restaurer
les autres fichiers (à partir de la dernière sauvegarde)
en les vérifiant avec attention
-
Reconstruire
tous les exécutables dont le code source est disponible
suivant plan