Negativo. Desligar a máquina era a última coisa que deveria ter sido feito.
A primeira coisa ao ser detectado o ataque era ter desligado o cabo de rede, pra garantir o bloqueio ao atacante. Aí sim, deveriam ter sido feitas as imagens, inclusive da memória RAM e Swapp. Ao desligar a máquina, quando a mesma for religada, são alteradas várias informações importantes, como horário de acesso a alguns arquivos, sem falar que se perde todas as informações que ainda poderiam estar na memória principal. No site dum Major do Exército, especialista em computação forense, vocês encontram várias informações a respeito de como proceder em casos como esses. O link é: http://eriberto.pro.br/ Abraços, Misael. > Você quer saber o que aconteceu? > A primeira coisa de cara que eu recomendo e você puxar a tomada dessa > maquina ;). > > Faça uma imagem do disco da maquina e trabalhe em cima dessa imagem. > Faça a imagem com um live cd. > A partir dai comesse a analisar a imagem. Nada que você conseguir ver > na maquina agora pode ser considerado seguro se você esta vendo > atraves de um sistema possivelmente comprometido. Claro que isso pode > ser um pouco de exageiro, mas e verdade :p. > > -- > Mi blog eres su blog:https://www.lccv.ufal.br/~psycho/ > @psycho_mantys :http://twitter.com/psycho_mantyshttp://www.slackware.com > U.L. : 450347 > Fnord --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
