Nach dem Angriff: Notfallplan für Netzwerk-Administratoren

Der nächste Schritt besteht darin, die Mitgliedschaften in den Gruppen zu überprüfen. Es muss sichergestellt werden, dass keine neuen Anwender weitere Mitgliedschaften in Gruppen erhalten haben und damit mehr Privilegien, als ihnen eigentlich zustehen. Besonders sollte auf die Administratoren-Gruppe geachtet werden, da die Mitgliedschaft in dieser Gruppe den Benutzern erlaubt, fast jede Einstellung im System zu ändern. Am einfachsten geht man zu jeder einzelnen Gruppe und überprüft deren Mitgliedschaften. Hat ein Benutzerkonto eine Mitgliedschaft, die es nicht haben sollte, muss diese Mitgliedschaft gelöscht und das Konto zur weiteren Auswertung gekennzeichnet werden.

Auch die Zugriffssteuerungslisten (ACL) des Systems sollten überprüft werden. Dies lässt sich am besten mit einem Tool wie Somarsoft erledigen, das sämtliche Zugriffssteuerungslisten aus dem System liest und sie dann in einem einfach zu lesenden Format ausgibt. Gesucht wird nach Einträgen, die einen offensichtlich unangemessenen Zugriff gewähren.

Bei der Überprüfung sollten zunächst die bestehenden Protokolle nach unnormalen Nutzungsmustern, unverhältnismäßig vielen Fehlern oder anderen Dingen, die einfach nicht richtig erscheinen, durchsucht werden. Außerdem sollte die Protokollierung auf die höchstmögliche Stufe eingestellt werden, so dass künftige Angriffsversuche verfolgt werden können. Dieser Schritt wirkt sich möglicherweise auf die Leistung aus und kann es erforderlich machen, dass die Protokolle erweitert werden. Hier handelt es sich um ein ganz normales Mittel nach einem Hacker-Angriff. Ist die Protokollierung jedoch so hoch eingestellt, dass die gesamten Protokolle wohl niemals überprüft werden können, sollte das Niveau herabgesetzt werden, um noch eine Übersicht über die Protokolle zu bewahren.

Werden suspekte Protokolleinträge gefunden, sollte das System isoliert werden, bis die Quelle dieser Einträge identifiziert bzw. bis das System sehr genau beobachtet werden kann. Protokolleinträge können auf erfolgreiche und erfolglose Zugriffsversuche auf die Sicherheit des Systems hinweisen. Meistens ist die Protokollierung jedoch so eingestellt, dass sie nur Informationen bezüglich fehlgeschlagener Versuche aufzeichnet. Es ist durchaus möglich, dass das Protokoll ab einem bestimmten Punkt keine Misserfolge mehr aufgezeichnet hat – dann nämlich, wenn der Hacker Zugriff erhalten hat.

Wichtig ist, sicherzustellen, dass keine Trojanischen Pferde auf den Systemen installiert wurden und in Betrieb sind. Diese sollten üblicherweise von Antivirusprogrammen identifiziert werden, sie werden jedoch nicht immer von jeder Scan-Engine entdeckt. Will man die Systeme mit einem alternativen Antivirusprogramm überprüfen, empfiehlt sich der Online-Scanner von Trend Micro.