Jadi anda telah mengikuti beberapa nasehat di sini (atau di tempat lain) dan telah mendeteksi breakin? Hal pertama yang harus dilakukan adalah tetap tenang. Tindakan yang ceroboh akan mengakibatkan kerugian yang lebih daripada yang dapat dilakukan penyerang.
Menemukan gangguan keamanan yang sedang berlangsung dapat menjadi pekerjaan yang berat. Bagaimana anda bereaksi dapat memberi konsekuensi besar.
Jika gangguan yang anda lihat adalah fisik, ganjil bila anda menemukan seseorang yang telah masuk ke rumah anda, kantor atau lab. Anda perlu memberitahu otoritas lokal anda. Dalam setting lab anda mungkin menemukan seseorang berusaha membuka case atau mereboot mesin. Tergantung pada otoritas dan prosedur lokal, anda mungkin meminta mereka untuk berhenti, atau hubungi orang-orang keamanan lokal anda.
Jika anda mendeteksi pemakai lokal berusaha mengganggu keamanan anda, hal pertama yang dilakukan adalah memastikan mereka adalah siapa yang anda pikirkan. Periksa site darimana mereka login. Apakah itu site yang biasa tempat mereka masuk? Kemudian gunakan media non elektronik untuk berhubungan. Sebagai contoh, telpon mereka atau kunjungi kantor/rumah mereka dan berbicara kepada mereka. Jika mereka yakin mereka memang masuk, anda dapat meminta mereka menjelaskan apa yang mereka lakukan atau minta mereka untuk menghentikan hal tersebut. Jika mereka tidak masuk, dan tidak tahu apa yang anda bicarakan, insiden ini tidak memerlukan investigasi lebih lanjut. Lihat insiden-insiden semacam ini, dan ambillah banyak informasi sebelum melakukan tuduhan.
Jika anda mendeteksi gangguan jaringan, hal pertama yang harus dilakukan (jika anda mampu) adalah memutuskan jaringan anda. Jika mereka terhubung melalui modem, putuskan kabel modem, jika mereka terhubung melalui ethernet, putuskan kabel ethernet. Hal ini akan mencegah mereka melakukan kerusakan yang lebih parah, dan mereka mungkin akan melihatnya sebagai masalah jaringan daripada deteksi.
Jika anda tidak mampu memutuskan jaringan (jika anda memiliki site yang sibuk, atau tidak memiliki kendali fisik atas mesin anda), langkah terbaik berikutnya adalah menggunakan sesuatu seperti tcp_wrappers atau ipfwadm untuk menolak akses dari site penyusup.
Jika anda tidak dapat menolak seluruh orang dari site yang sama dengan penyusup, anda dapat mengunci rekening pemakai. Perhatikan bahwa mengunci rekening bukanlah hal yang mudah. Anda harus mengingat file .rhosts, akses FTP, dan host backdoor).
Setelah anda selesai melakukan salah satu langkah di atas (memutuskan jaringan, menolak akses dari site mereka, dan/atau meniadakan rekening mereka), anda butuh membunuh seluruh proses pemakai mereka dan mencatat mereka.
Anda perlu memonitor site anda dengan baik untuk beberapa menit selanjutnya, karena penyerang akan berusaha dan masuk kembali. Mungkin dengan menggunakan rekening yang berbeda, dan/atau dari alamat jaringan yang berbeda.
Jadi anda telah mendeteksi gangguan yang telah terjadi atau anda telah mendeteksinya dan mengunci (mudah-mudahan) penyerang dari sistem anda. Lalu apa?
Jika anda mampu menentukan cara apa yang digunakan penyerang untuk masuk ke sistem anda, anda perlu berusaha dan menutup lubang itu. Sebagai contoh, mungkin anda melihat beberapa masukan FTP sebelum pemakai login. Tiadakan pelayanan FTP dan periksa dan lihat jika ada versi perbaikan atau daftar perbaikan.
Periksa seluruh log file anda, dan kunjungi list dan halaman keamanan anda dan lihat apakah ada eksploitasi umum baru yang dapat anda perbaiki. Anda dapat menemukan perbaikan keamanan Caldera di http://www.caldera.com/tech-ref/security. Red Hat belum memisahkan perbaikan keamanan dengan perbaikan bug, tetapi errata distribusi tersedia di http://www.redhat.com/errata. Tampaknya bila satu vendor mengeluarkan perbaikan keamanan, maka vendor Linux lainnya juga akan melakukan hal yang sama.
Jika anda tidak mengunci penyerang, mereka cenderung akan kembali. Tidak hanya ke mesin anda, tetapi kembali ke suatu tempat di jaringan anda. Jika mereka menjalankan paket sniffer, mereka akan memiliki akses ke mesin lainnya.
Hal pertama adalah memperkirakan kerusakan. Apa yang telah diganggu? Jika anda menjalankan Integrity Checker seperti Tripwire anda dapat membuat tripwire berjalan dan memberitahu anda. Jika tidak, anda harus melihat seluruh data penting anda.
Oleh karena sistem Linux menjadi semakin mudah diinstal, anda perlu mempertimbangkan menyimpan file config anda dan kemudian menghapus seluruh disk dan melakukan instal ulang, kemudian mengembalikan file-file pemakai dari backup dan config anda. Hal ini akan memastikan bahwa anda memiliki sistem yang bersih. Jika anda memiliki file backup dari sistem yang terganggu, hati-hati terhadap biner yang anda kembalikan karena mungkin itu adalah kuda troya yang ditempatkan oleh penyusup.
Memiliki backup reguler adalah tindakan keamanan yang baik. Jika sistem anda diganggu, anda dapat mengembalikan data yang dibutuhkan dari backup. Tentu saja beberapa data bernilai bagi penyerang juga, dan mereka tidak hanya menghancurkannya, mereka juga mencurinya dan menyalinnya, tetapi paling tidak anda masih memiliki data.
Anda perlu memeriksa beberapa backup masa lampau sebelum mengembalikan suatu file yang telah terganggu. Penyusup mungkin telah mengganggu file anda dahulu, dan anda dapat membuat banyak backup yang berhasil untuk file terganggu!!!
Tentu saja, ada keprihatinan keamanan dengan backup. Pastikan anda menyimpannya di tempat yang aman. Mengetahui siapa yang mengakses mereka. (Jika penyerang dapat memperoleh backup anda, mereka dapat memiliki akses ke seluruh data anda tanpa pernah anda ketahui).
OK, anda telah mengunci penyusup, dan mengembalikan sistem anda, tetapi anda belum selesai. Meskipun kebanyakan penyusup sangat jarang akan ditangkap, anda perlu melaporkan serangan.
Anda perlu melaporkan serangan ke kontak admin di site di mana penyerang menyerang sistem anda. Anda dapat melihat kontak ini melalui "whois" atau database internic. Anda mungkin mengirimi mereka email dengan seluruh catatan log. Jika anda menjumpai sesuatu yang berbeda tentang penyusup anda, anda mungkin menyebutkannya juga. Setelah mengirimkan email, anda perlu (jika anda begitu ingin) menindaklanjuti dengan telpon. Jika admin tersebut menemukan penyerang anda, mereka mungkin dapat berbicara dengan admin site darimana mereka berasal dan seterusnya.
Hacker yang baik selalu menggunakan sistem perantara. Beberapa (atau banyak) di antaranya bahkan tidak tahu bahwa mereka telah diganggu. Berusaha melacak cracker ke sistem home mereka dapat menjadi sulit. Bersikap sopan dengan admin yang anda ajak bicara akan memudahkan mendapat bantuan dari mereka.
Anda perlu juga memberitahu organisasi keamanan dengan anda sebagai bagiannya (CERT atau yang serupa).